أطلقت شركة سيسكو تحديثات أمنية طارئة لمعالجة ثغرة متوسطة الخطورة في مدير Catalyst SD-WAN، والتي تم رصد استغلالها بشكل نشط من قبل القراصنة في الآونة الأخيرة.
ما هي تفاصيل ثغرة سيسكو Catalyst SD-WAN Manager؟
وفقاً لتقرير تيكبامين، فإن الثغرة الأمنية التي تحمل التعريف CVE-2026-20262 حصلت على تصنيف 6.5 من 10 على مقياس CVSS، مما يجعلها ثغرة متوسطة الخطورة ولكنها حرجة نظراً لاستغلالها الفعلي.
تكمن المشكلة الأساسية في واجهة المستخدم الرسومية (Web UI) الخاصة ببرنامج Cisco Catalyst SD-WAN Manager، والذي كان يُعرف سابقاً باسم SD-WAN vManage. تتيح هذه الثغرة للمهاجم المصادق عليه (الذي يمتلك صلاحيات وصول) القيام بما يلي:
- إنشاء ملفات جديدة على نظام الملفات الخاص بالنظام المتأثر.
- تجاوز أو مسح أي ملفات موجودة بالفعل على نظام التشغيل.
- إرسال طلبات HTTP مخصصة إلى واجهات برمجة التطبيقات (API) المتأثرة.
كيف يتم استغلال هذه الثغرة أمنياً؟
أوضحت سيسكو أن الخلل ناتج عن عدم التحقق الكافي من المدخلات التي يوفرها المستخدم أثناء عملية تحميل الملفات. وبحسب تيكبامين، يمكن للمهاجمين استخدام هذا السلوك لرفع ملفات خبيثة قد تؤدي في النهاية إلى رفع صلاحيات المهاجم لتصل إلى مستوى الجذر (Root)، وهو أعلى مستوى تحكم في النظام.
ومع ذلك، هناك شرط أساسي لنجاح الهجوم، وهو أن يكون لدى المهاجم بالفعل بيانات اعتماد صالحة وصلاحيات كتابة على الأقل داخل النظام، مما يقلل من احتمالية الهجمات العشوائية تماماً ولكنه يزيد الخطورة في حال اختراق حساب أحد الموظفين.
ما هي المنتجات المتأثرة وكيف يمكن تأمينها؟
تؤثر هذه الثغرة على منتجات سيسكو Catalyst SD-WAN بغض النظر عن طريقة النشر (سواء كانت سحابية أو داخلية). وقد سارعت الشركة بإصدار الإصلاحات اللازمة وحثت العملاء على التحديث الفوري لتجنب أي مخاطر محتملة.
أكدت سيسكو أنها علمت بوجود "استغلال محدود" لهذه الثغرة في يونيو 2026، مشيرة إلى أن اكتشافها تم في الأصل خلال اختبارات أمنية داخلية أجرتها الشركة لتعزيز حماية منتجاتها.
كيف تعرف إذا كان نظامك قد تعرض للاختراق؟
لمساعدة مديري الأنظمة، شاركت سيسكو مجموعة من مؤشرات الاختراق (IoCs) التي يجب مراقبتها، ومن أبرزها:
- فحص ملف السجلات في المسار التالي:
/var/log/nms/vmanage-server.log. - البحث عن أي عمليات تحميل مشبوهة لملفات من نوع WAR.
- رصد أي محاولات لنشر أكواد خبيثة أو التفاعل مع ملفات غير معروفة.
وتجدر الإشارة إلى أن هذه المؤشرات قد لا تظهر بشكل ثابت في جميع الحوادث، مما يتطلب تدقيقاً عميقاً في سجلات النظام.
سلسلة من الثغرات التي تستهدف أجهزة سيسكو
تعتبر CVE-2026-20262 هي الثغرة الأمنية الثامنة التي تؤثر على منتجات سيسكو SD-WAN ويتم تصنيفها على أنها مستغلة بشكل نشط خلال هذا العام وحده. ومن بين الثغرات الأخرى التي تم رصدها مؤخراً:
- CVE-2026-20245 و CVE-2026-20182
- CVE-2026-20127 و CVE-2026-20122
- CVE-2026-20128 و CVE-2026-20133
- CVE-2022-20775
وقد تم ربط استغلال بعض هذه الثغرات بجهة تهديد متقدمة ومستمرة (APT) تُعرف باسم UAT-8616، مما يشير إلى وجود استهداف منظم للبنية التحتية للشبكات التي تعتمد على تقنيات سيسكو.
تحذيرات رسمية من وكالة CISA الأمريكية
دفع هذا التطور وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إضافة هذه الثغرة إلى دليل الثغرات المستغلة المعروفة (KEV). وألزمت الوكالة الهيئات الحكومية الفيدرالية بتطبيق الإصلاحات اللازمة في موعد أقصاه 29 يونيو 2026، وهو ما يعكس جدية الموقف وضرورة التحرك السريع من قبل كافة المؤسسات التي تستخدم هذه الأنظمة لضمان حماية بياناتها وشبكاتها من الاختراقات المحتملة.