ثغرة سيسكو SD-WAN: تحذير عاجل من CISA لاختراقات خطيرة

أضافت وكالة الأمن السيبراني الأمريكية CISA ثغرة سيسكو (CVE-2026-20182) الخطيرة في أنظمة SD-WAN إلى كتالوج الثغرات المستغلة، مطالبة الوكالات بتحديثات عاجلة بحلول 17 مايو 2026 لتجنب الاختراقات.

ما هي تفاصيل ثغرة سيسكو CVE-2026-20182؟

تُعد هذه الثغرة الأمنية من أخطر التهديدات السيبرانية الحالية، حيث حصلت على التقييم الأقصى 10.0 في نظام تسجيل الثغرات (CVSS). وتؤثر بشكل مباشر وحرج على أجهزة التحكم وإدارة Cisco Catalyst SD-WAN.

تسمح هذه الثغرة للمهاجمين بتجاوز آليات المصادقة عن بُعد تماماً وبدون الحاجة إلى أي بيانات تسجيل دخول مسبقة. وبمجرد استغلالها بنجاح، يحصل المهاجم على صلاحيات إدارية كاملة، مما يجعله قادراً على التحكم في البنية التحتية للشبكة.

أبرز خصائص الثغرة الحرجة:

• درجة الخطورة: 10.0 من 10 (الحد الأقصى للتهديد).
• آلية العمل: تجاوز المصادقة للوصول إلى صلاحيات الإدارة العليا.
• الأنظمة المتأثرة: أجهزة Cisco Catalyst SD-WAN Controller و Manager.

من يقف وراء هجمات أجهزة سيسكو SD-WAN؟

أكدت التقارير والتحليلات الأمنية أن مجموعة التهديد المتقدمة المعروفة باسم UAT-8616 هي الجهة المسؤولة عن استغلال هذه الثغرة النشطة. وهي نفس المجموعة الخطيرة التي استغلت سابقاً ثغرة (CVE-2026-20127) للوصول غير المصرح به إلى نفس الأنظمة.

وفقاً لمتابعة تيكبامين المستمرة لأحدث التهديدات السيبرانية، تستخدم هذه المجموعة بنية تحتية شديدة التعقيد. تتداخل أدواتهم مع شبكات التتابع التشغيلية "Operational Relay Box" (ORB) لتنفيذ هجماتهم وتغطية مساراتهم الرقمية لتجنب الاكتشاف.

كيف يتم استغلال أنظمة سيسكو وما هي المخاطر؟

بمجرد وصول مجموعة UAT-8616 إلى النظام المستهدف عبر ثغرة سيسكو، تقوم بتنفيذ سلسلة من الإجراءات الخبيثة بعد الاختراق للسيطرة التامة على الشبكة. وقد لوحظ استخدامهم لأكواد استغلال (PoC) أصبحت متاحة للعامة، مما يزيد من رقعة الخطر.

يقوم المهاجمون بنشر برمجيات خبيثة من نوع واجهات الويب "Web Shell" مبنية على تقنية (JSP)، والتي أُطلق عليها الباحثون اسم XenShell. هذا الخبيث يسمح لهم بتنفيذ أوامر "Bash" عشوائية والتحكم بالنظام المخترق بالكامل.

خطوات الهجوم المتبعة بعد الاختراق:

• إضافة مفاتيح SSH جديدة لضمان الوصول المستمر والدائم للنظام.
• تعديل إعدادات NETCONF الخاصة بإدارة الشبكة لخدمة أهدافهم.
• رفع الصلاحيات بشكل غير قانوني للوصول إلى مستوى الجذور (Root).
• استخدام أداة XenShell لتشغيل أوامر تحكم عن بُعد بحرية.

كيف تحمي أنظمتك من هذه الثغرات الأمنية؟

تم ربط ما لا يقل عن 10 مجموعات تهديد سيبرانية مختلفة باستغلال مجموعة من الثغرات المترابطة بأنظمة سيسكو (مثل CVE-2026-20133 و CVE-2026-20128) منذ مارس 2026. عند دمج هذه الثغرات معاً، تصبح الشبكة مستباحة بالكامل.

تؤكد منصة تيكبامين على أهمية التحرك السريع والفوري لسد هذه الثغرات قبل انتهاء المهلة المحددة من وكالة CISA. التساهل في هذه التحديثات قد يؤدي إلى شلل كامل في البنية التحتية للمؤسسات.

توصي شركة سيسكو جميع عملائها بضرورة المراجعة الدقيقة للإرشادات الأمنية الصادرة حديثاً. يجب تطبيق التحديثات البرمجية المعتمدة وتفعيل إجراءات التخفيف فوراً لحماية بيئات العمل الحساسة من أي استغلال محتمل.