سيسكو تصلح ثغرة يوم صفر خطيرة في بوابات البريد

أطلقت شركة سيسكو تحديثات أمنية عاجلة لمعالجة ثغرة برمجية من نوع "يوم صفر" (Zero-Day) شديدة الخطورة، والتي استهدفت بوابات البريد الإلكتروني الآمن الخاصة بها، حيث أكدت التقارير استغلالها من قبل مجموعة قرصنة متقدمة مرتبطة بالصين.

ما هي تفاصيل ثغرة سيسكو CVE-2025-20393؟

كشفت شركة سيسكو عن تفاصيل الثغرة التي تم تتبعها بالرمز CVE-2025-20393، والتي حصلت على أعلى تصنيف لشدة الخطورة (CVSS score: 10.0). وتكمن خطورة هذه الثغرة في إمكانية تنفيذ أوامر عن بعد (RCE) بسبب خلل في التحقق من صحة طلبات HTTP في ميزة الحجر الصحي للرسائل المزعجة (Spam Quarantine).

وبحسب تيكبامين، فإن الاستغلال الناجح لهذا الخلل الأمني يمنح المهاجمين صلاحيات كاملة (Root Privileges) على نظام التشغيل الأساسي للأجهزة المتأثرة، مما يعرض البيانات الحساسة والبنية التحتية للشبكة لخطر كبير.

الأنظمة المتأثرة بالثغرة

حددت الشركة المنتجات التالية كأهداف رئيسية للثغرة، والتي تتطلب تحديثاً فورياً:

• برمجيات Cisco AsyncOS.
• بوابة البريد الإلكتروني الآمن (Cisco Secure Email Gateway).
• مدير الويب والبريد الإلكتروني الآمن (Cisco Secure Email and Web Manager).

كيف استغلت مجموعة القراصنة هذه الثغرة؟

أشارت التحقيقات إلى أن مجموعة التهديد المستمر المتقدم (APT) المعروفة باسم UAT-9686 والمرتبطة بالصين، قد بدأت في استغلال هذه الثغرة منذ أواخر نوفمبر 2025. وقد استخدم المهاجمون أدوات متطورة للحفاظ على وجودهم داخل الأنظمة المخترقة.

تضمنت الهجمات نشر مجموعة من الأدوات الخبيثة والبرمجيات المتخصصة:

• أداة AquaTunnel: والمعروفة أيضاً باسم ReverseSSH، وتستخدم لإنشاء أنفاق اتصال خفية.
• أداة Chisel: لتوجيه حركة المرور عبر الشبكة وتجاوز الجدران النارية.
• أداة AquaPurge: وهي أداة مخصصة لمسح السجلات (Logs) لإخفاء آثار الهجوم وتجنب الكشف.
• باب خلفي AquaShell: وهو برنامج مكتوب بلغة بايثون يستقبل الأوامر المشفرة وينفذها على النظام.

ما هي خطوات الحماية التي توصي بها سيسكو؟

بالإضافة إلى تثبيت التحديثات البرمجية التي أطلقتها الشركة لإغلاق الثغرة وإزالة آليات التثبيت التي زرعها المهاجمون، أصدرت سيسكو مجموعة من التوصيات الأمنية الهامة لتعزيز حماية الأجهزة والشبكات.

لضمان الأمان الكامل، ينصح باتباع إرشادات التحصين التالية:

• عزل الأجهزة خلف جدار حماية (Firewall) قوي لمنع الوصول غير المصرح به.
• مراقبة سجلات حركة المرور على الويب للكشف عن أي نشاط غير طبيعي.
• تعطيل خدمات HTTP للبوابة الإدارية الرئيسية واستخدام بروتوكولات آمنة.
• إيقاف أي خدمات شبكة غير ضرورية لتقليل مساحة الهجوم المحتملة.
• فرض مصادقة قوية للمستخدمين النهائيين (مثل SAML أو LDAP).
• تغيير كلمة مرور المسؤول الافتراضية فوراً إلى كلمة مرور معقدة وآمنة.

تؤكد تيكبامين على أهمية التحرك السريع من قبل مسؤولي الأنظمة في الشركات والمؤسسات لتطبيق هذه التحديثات، حيث أن الثغرات المصنفة بدرجة 10.0 تعتبر نادرة وتشكل تهديداً وجودياً لأمن المعلومات.