ثغرة سيسكو Unified CM دخلت مرحلة الاستغلال الفعلي، ما يرفع المخاطر على المؤسسات التي لم تُحدّث أنظمتها بعد، خاصة عند تفعيل خدمة WebDialer.
ما هي ثغرة سيسكو Unified CM ولماذا تُعد خطيرة؟
كشفت سيسكو عن ثغرة أمنية حرجة تحمل الرمز CVE-2026-20230 وتؤثر على Cisco Unified Communications Manager وUnified CM SME. وتحمل الثغرة درجة خطورة 8.6 من 10، ما يضعها ضمن الفئة التي تستدعي استجابة سريعة.
المشكلة ترتبط بضعف في التحقق من بعض طلبات HTTP، ما يسمح لمهاجم عن بُعد وغير موثّق بتنفيذ هجمات SSRF. الأخطر أن هذا المسار قد يُستخدم لاحقاً لكتابة ملفات داخل النظام الأساسي ثم التمهيد لرفع الصلاحيات إلى root.
أبرز تفاصيل الثغرة
- الرمز التعريفي: CVE-2026-20230
- درجة الخطورة: 8.6/10
- نوع الهجوم: SSRF عبر طلبات HTTP مُعدّة خصيصاً
- الأثر المحتمل: كتابة ملفات ثم تصعيد الامتيازات إلى root
- الأنظمة المتأثرة: Unified CM وUnified CM SME
كيف بدأ استغلال ثغرة سيسكو Unified CM في الهجمات؟
بحسب المعطيات المنشورة هذا الأسبوع، بدأ مهاجمون فعلياً بمحاولات استغلال الثغرة بعد ظهور نموذج إثبات مفهوم PoC. وتشير المراقبة الأمنية إلى أن الهجمات رُصدت من مصدر واحد على الأقل باستخدام حمولة تعتمد على file:// لكتابة ملفات على الأجهزة المستهدفة.
هذا التطور مهم لأن الثغرات الحرجة كثيراً ما تنتقل من مرحلة الإفصاح إلى الاستغلال خلال وقت قصير، خصوصاً عندما تكون هناك تفاصيل تقنية كافية تساعد المهاجمين. ووفقاً لتقرير تيكبامين، فإن وجود PoC عملي يرفع احتمال توسع الهجمات خلال الأيام التالية.
متى تنجح الهجمات وما دور خدمة WebDialer؟
نجاح الاستغلال ليس تلقائياً في كل البيئات، إذ يتطلب أن تكون خدمة WebDialer مفعلة على الخادم المستهدف. وهذه النقطة تمنح مسؤولي الأنظمة فرصة لتقليل الخطر سريعاً إذا تعذر تطبيق التحديثات الأمنية فوراً.
ما الذي يجب التحقق منه الآن؟
- التأكد من حالة خدمة WebDialer على الخوادم
- مراجعة السجلات الخاصة بطلبات HTTP غير المعتادة
- البحث عن أي محاولات كتابة ملفات مشبوهة
- تحديد ما إذا كانت الأنظمة تعمل بإصدارات غير مُصححة
إذا كانت WebDialer غير مفعلة، ينخفض سطح الهجوم بشكل واضح. لكن إذا كانت الخدمة قيد التشغيل، فالأولوية تصبح للتحديث أو التعطيل المؤقت إلى حين إغلاق الثغرة بالكامل.
ما هي الإصدارات التي أصلحت الثغرة في سيسكو؟
أعلنت الشركة أن الإصلاحات أصبحت متاحة في إصداري 14SU6 و15SU5 لكل من Unified CM وUnified CM SME. كما ظهرت لاحقاً تفاصيل تقنية إضافية توضح أن المهاجم قد يستفيد من مكوّن WebDialer للحصول على اسم المضيف الحقيقي ثم التقدم نحو تنفيذ تعليمات برمجية.
- الإصدار المُصحح الأول: 14SU6
- الإصدار المُصحح الثاني: 15SU5
- الإجراء البديل: تعطيل WebDialer مؤقتاً
الخلاصة أن ثغرة سيسكو Unified CM لم تعد مجرد تحذير نظري، بل تحولت إلى تهديد نشط يتطلب تحديثاً سريعاً ومراجعة دقيقة للإعدادات. وينصح تيكبامين المؤسسات المتأثرة بالتحرك فوراً، لأن تأجيل معالجة ثغرة سيسكو Unified CM قد يمنح المهاجمين نافذة مباشرة نحو الخوادم الحساسة.
