ثغرة سيسكو SD-WAN CVE-2026-20127 تُستغل منذ 2023 وتمنح وصولاً إدارياً، ما يدفع المؤسسات للتحديث العاجل ومراجعة السجلات الأمنية.
ما هي ثغرة سيسكو SD-WAN CVE-2026-20127؟
تستهدف الثغرة منتجات Cisco Catalyst SD-WAN Controller (vSmart) وCisco Catalyst SD-WAN Manager (vManage)، وتم رصد استغلالها فعلياً في بيئات حية. وسجّل العيب باسم CVE-2026-20127 مع خطورة قصوى وصلت إلى CVSS 10.0، ما يتيح للمهاجم غير الموثق الحصول على صلاحيات إدارية.
الخلل يعود إلى تعطل آلية مصادقة الربط بين الأقران، ما يسمح بالوصول إلى حساب داخلي عالي الامتياز لكنه غير root. وبذلك يصبح الوصول إلى NETCONF وتغيير إعدادات نسيج SD-WAN ممكناً على نطاق واسع.
كيف يتم تجاوز المصادقة؟
يُرسل المهاجم طلباً معداً خصيصاً إلى النظام المكشوف على الإنترنت، فيتجاوز المصادقة قبل بناء جلسة الإدارة. هذه الخطوة هي مدخل لسلسلة إجراءات ما بعد الاختراق التي قد تشمل تثبيت مكوّنات ضارة أو تمهيد مسار لرفع الصلاحيات.
- تجاوز المصادقة بالكامل دون بيانات دخول.
- الحصول على وصول إداري عبر حساب داخلي عالي الامتياز.
- التحكم بإعدادات الشبكة عبر واجهة NETCONF.
- إمكانية دمج جهاز مزيف ضمن طبقة الإدارة.
من هو المهاجم وما الذي حدث منذ 2023؟
الجهات الأسترالية في مركز الأمن السيبراني ASD-ACSC كانت أول من أبلغ عن الثغرة، بينما تتبع سيسكو النشاط تحت اسم UAT-8616. وفقاً لمتابعات تيكبامين، يوصف هذا الخصم بأنه متقدم ويستغل ثغرات صفرية اليوم منذ 2023.
تشير التقارير إلى أن المهاجم قادر على إنشاء نظير وهمي ينضم إلى مستوى الإدارة أو التحكم في SD-WAN ويظهر كعنصر موثوق. هذا العنصر المؤقت يسمح بتنفيذ أوامر ذات ثقة عالية داخل البنية الشبكية قبل أن يختفي لتقليل الأثر.
قدرات ما بعد الاختراق
- إنشاء نظير وهمي يتصرف كمكوّن SD-WAN موثوق.
- تنفيذ أوامر إدارة وتغيير سياسات التوجيه.
- التحرك داخل الشبكة مع تقليل آثار التتبع.
ما الأنظمة المعرضة وما التحديثات المتاحة؟
الخطر يطال أنظمة Catalyst SD-WAN Controller وManager بغض النظر عن الإعدادات، خصوصاً عندما تكون المنافذ مكشوفة للإنترنت. سيسكو أكدت أن الأنظمة العامة هي الأكثر عرضة، لأنها تسمح باستقبال الطلبات المصممة للاستغلال.
تم توفير تصحيحات ضمن إصدارات SD-WAN الأحدث، ما يجعل الترقية الفورية الخيار الأكثر أماناً. كما يُنصح بتقليل سطح الهجوم عبر تقوية العزل الشبكي وإغلاق المنافذ غير الضرورية.
- التحديث إلى أحدث إصدارات Cisco Catalyst SD-WAN فوراً.
- تقييد الوصول إلى واجهات الإدارة عبر عناوين موثوقة فقط.
- إغلاق المنافذ غير المطلوبة على الأنظمة المكشوفة.
- مراجعة قواعد الجدار الناري لمنافذ التحكم.
كيف تتحقق من الاختراق في بيئة SD-WAN؟
تنصح سيسكو بمراجعة ملف /var/log/auth.log بحثاً عن السطر "Accepted publickey for vmanage-admin" من عناوين غير معروفة. وجود هذه الإدخالات قد يدل على استخدام المفاتيح لإجراء تسجيل دخول غير مصرح به.
ينبغي مقارنة عناوين IP في السجل مع قائمة System IPs داخل واجهة Cisco Catalyst SD-WAN Manager (WebUI > Devices > System IP). كما يستحسن مراقبة آلية التحديث لأي محاولات لخفض الإصدار أو تغييرات مفاجئة في تكوين الشبكة.
إجراءات تحقق سريعة
- البحث عن محاولات تسجيل دخول غير معروفة في auth.log.
- مطابقة عناوين IP مع System IPs المعتمدة.
- فحص سجل التحديثات لاكتشاف أي خفض إصدار غير مبرر.
- عزل الأنظمة المشكوك فيها مؤقتاً لحين التحقق.
في النهاية، تؤكد تيكبامين أن التعامل السريع مع ثغرة سيسكو SD-WAN يقلل فرص التوغل ويحافظ على استقرار الشبكة. تحديث الأنظمة، وتدقيق السجلات، ومراجعة التعرض للإنترنت خطوات عملية ينبغي تنفيذها فوراً.
