ثغرة سيسكو Catalyst SD-WAN المسجلة باسم CVE-2026-20245 استُغلت كهجوم يوم صفر قبل إعلانها، ما منح المهاجمين وصولاً كاملاً بصلاحية root.
ما هي ثغرة سيسكو Catalyst SD-WAN CVE-2026-20245؟
كشفت نتائج جديدة أن ثغرة عالية الخطورة في منصات سيسكو Catalyst SD-WAN جرى استغلالها فعلياً قبل الكشف العلني عنها بشهرين على الأقل. وتكمن خطورتها في أنها تسمح لمهاجم يملك وصولاً محلياً موثقاً بتنفيذ أوامر بصلاحيات مرتفعة.
الثغرة تحمل درجة 7.8 على مقياس CVSS، وتستند إلى ضعف في التحقق من المدخلات التي يرفعها المستخدم إلى النظام. وبحسب المعطيات، أمكن استغلالها عبر ملف CSV خبيث مخصص لرفع الامتيازات داخل الجهاز المستهدف.
- المعرف: CVE-2026-20245
- الخطورة: 7.8 من 10
- نوع الهجوم: تنفيذ أوامر ورفع امتيازات
- النتيجة: الوصول إلى صلاحية root الكاملة
كيف بدأ الهجوم على أجهزة سيسكو SD-WAN؟
تشير التفاصيل إلى أن الجهة المهاجمة لم تبدأ مباشرة باستغلال الثغرة، بل سبقتها أنشطة اختراق غير مصرح بها على مرحلتين زمنيتين مختلفتين. الفترة الأولى امتدت من أواخر 2025 حتى يناير 2026، ثم ظهرت موجة ثانية خلال مارس 2026.
في المرحلة الأولى، رُصدت اتصالات peering غير شرعية يُرجح أنها اعتمدت على واحدة من ثغرتين لتجاوز المصادقة داخل متحكمات سيسكو SD-WAN. أما في المرحلة الثانية، فقد استهدفت الاتصالات جهازاً يعمل بإصدار أحدث كان قد حصل بالفعل على تصحيح أمني لإحدى الثغرات السابقة.
ما الذي يرجح حدوثه في الاختراق الثاني؟
الاحتمال الأبرز هو أن المهاجم استخدم شهادات رقمية مسروقة من اختراق سابق للجهاز نفسه للوصول الأولي. وبعد ذلك، تم تغيير بيانات المدير الافتراضية، ثم استغلال CVE-2026-20245 عبر ملف خبيث باسم evil_tenant.csv.
- الوصول الأولي: اتصالات peering غير شرعية
- التحرك داخل النظام: تغيير بيانات admin الافتراضية
- الاستغلال النهائي: رفع ملف CSV خبيث
- الحساب المزروع: troot
لماذا تعد ثغرة سيسكو Catalyst SD-WAN خطيرة جداً؟
الخطورة هنا لا تتعلق فقط بتنفيذ الأوامر، بل بقدرة المهاجم على الوصول إلى مستوى root الكامل داخل بيئة الشبكة. هذا النوع من الصلاحيات يفتح الباب أمام التلاعب بالإعدادات، إنشاء مستخدمين خفيين، والاحتفاظ بوجود طويل الأمد داخل البنية التحتية.
كما أن الجهة المنفذة استخدمت أساليب مضادة للتحليل الجنائي الرقمي، إذ حذفت ملفات أنشأتها بنفسها ثم أعادت بعض ملفات الإعدادات بعد تعديلها لتقليل فرص الاكتشاف. ووفقاً لمتابعة تيكبامين، فهذا السلوك يعكس خبرة تشغيلية عالية ورغبة واضحة في البقاء سراً لأطول مدة ممكنة.
- زرع حساب root باسم troot
- حذف آثار النشاط بعد التنفيذ
- التراجع عن تعديلات الإعدادات لتقليل الشبهات
- العمل على أكثر من مرحلة زمنية
كيف تحمي شبكتك من هجمات سيسكو SD-WAN المشابهة؟
الاستجابة الأولى يجب أن تبدأ بمراجعة امتيازات حسابات netadmin وتغيير بيانات الدخول الحساسة فوراً، ثم التأكد من تطبيق التحديثات الأمنية الأخيرة على وحدات التحكم والأجهزة الطرفية. ومن المهم أيضاً فحص سجلات رفع الملفات، خصوصاً ملفات CSV غير المعتادة.
كما يُنصح بمراقبة أي حسابات جديدة غير معروفة، والتدقيق في شهادات الثقة والاتصالات بين عقد الشبكة. وترى تيكبامين أن التعامل السريع مع ثغرة سيسكو Catalyst SD-WAN ضروري الآن، لأن أي تأخير قد يمنح المهاجمين فرصة تكرار السيناريو نفسه داخل شبكات المؤسسات.
