تعتبر الثغرات الأمنية في أنظمة الشبكات أمرًا بالغ الأهمية، خاصة عندما يتعلق الأمر بشبكات SD-WAN. في هذا المقال، نستعرض ثغرة حرجة في Cisco SD-WAN وكيفية استغلالها.
يستغل فاعل تهديد متطور للغاية ثغرة حرجة في وحدات التحكم الخاصة بشبكة Cisco Catalyst المعرفة بالمنطقة الواسعة (SD-WAN).
كشفت شركة Rapid7 عن CVE-2026-20182، وهي ثغرة في تجاوز المصادقة في حل إدارة الشبكات الرائد في السوق من Cisco. من خلال السماح للمهاجمين غير المصرح لهم بالتحكم في أحد أقوى أدوات المنظمة، حصلت على أعلى درجة ممكنة وهي 10 من 10 في نظام تقييم الثغرات الشائعة (CVSS).
في منشور مدونة محدث اليوم، أكد دوغلاس مككي، مدير معلومات الثغرات في Rapid7، مدى خطورة هذه المشكلة. “لقد أصبح المهاجمون بارعين للغاية في تحويل نقاط الضعف في البنية التحتية المركزية إلى عمليات ذات تأثير كبير،” حذر، وخاصة بالنسبة للدول، “فإن وحدة التحكم في SD-WAN هي مكان رائع للقيام بـ [التجسس]، لأنها تقع في وسط علاقات الثقة التي نادراً ما تتساءل عنها معظم المنظمات.” لتجنب المبالغة، أضاف مككي، “لأكون منصفًا، ليس كل خطأ يتحول إلى استغلال على مستوى الإنترنت بين عشية وضحاها.”
في الواقع، تم استغلال CVE-2026-20182 بين عشية وضحاها. في منشور منفصل في نفس اليوم، أشار الباحثون في Cisco Talos إلى أن مجموعة تتبعها باسم UAT-8616 قد حصلت بالفعل على الثغرة.
المهاجمون يستغلون الثغرات الحرجة في Cisco Catalyst
ليس CVE-2026-20182 هو الثغرة الأولى التي تم اكتشافها في Cisco Catalyst هذا العام، بل إنها ليست حتى أول ثغرة في تجاوز المصادقة ذات درجة “حرجة” تبلغ 10 على مقياس CVSS.
في فبراير، كشفت Cisco عن نصف دزينة من المشكلات المتعلقة بـ Catalyst. كانت الأبرز هي CVE-2026-20127، التي منحت المهاجمين غير المصرح لهم القدرة على تسجيل الدخول إلى وحدات تحكم Cisco كأعلى مستخدمين ذوي امتيازات. على الرغم من أن Cisco وصفت استغلال CVE-2026-20127 في البرية بأنه “محدود”، إلا أن باحثي Talos اقترحوا أنه كان واسع النطاق، واستمر لمدة لا تقل عن بضع سنوات — وهو عمر طويل في سنوات السايبر. وقد أطلقوا على مجموعة التهديد المسؤولة عن ذلك الاستغلال اسم “UAT-8616″، واصفين إياها بأنها “متطورة للغاية.”
قامت Cisco بإصلاح CVE-2026-20127، مهددة بإفساد متعة UAT-8616. ومع ذلك، يبدو أن الفاعل لم يتأثر، حيث يبدو أنه قد بدأ على الفور تقريبًا باستخدام ثغرة أخرى مشابهة في نفس خط المنتج.
الفرق هو في الحقيقة مجرد مسألة تقنية. في فبراير، كانت المشكلة هي أن وحدة التحكم ومدير Catalyst لم يكونا صارمين بما يكفي في مصادقة مكونات SD-WAN، لذا كان بإمكان أي هاكر من الشارع استخدام رسالة مصممة خصيصًا لتقليد جهاز والدخول. هذا الشهر، تكمن المشكلة في أن وحدة التحكم لا تتحقق بالفعل من شرعية نوع معين من المكونات — وهو جهاز التوجيه المركزي، “vHub”، المستخدم في النشر السحابي — قبل مصادقته. ونتيجة لذلك، ومثل CVE في فبراير، يمكن للمهاجمين استخدام هذه الثغرة الجديدة للحصول على امتيازات إدارية في الأنظمة المستهدفة والوصول إلى “NETCONF”، وهو بروتوكول يمكنهم من خلاله العبث بجميع أنواع تكوينات الشبكة.
ما قد يحدث بعد ذلك لعملاء Cisco
في المرة الأولى التي استغل فيها UAT-8616 ثغرة تجاوز المصادقة في Catalyst، استغل وصوله لاستغلال ثغرة أقدم، CVE-2022-20775، والترقية من امتيازات عالية إلى وصول كامل للجذر. دون توضيح، أشارت Talos إلى أن الفاعل قد يكون “يبحث عن إقامة موطئ قدم دائم في منظمات ذات قيمة عالية بما في ذلك قطاعات البنية التحتية الحرجة (CI).”
هذه المرة، لاحظ الباحثون أن الفاعل يقوم “بأعمال مشابهة بعد الاختراق” بعد الفوز بالوصول الأولي، بما في ذلك إضافة مفاتيح SSH إلى الأنظمة المستهدفة، وتعديل تكوينات NETCONF، والترقية إلى الجذر.
لا يُعرف الكثير عن UAT-8616 بخلاف كل هذا، ولكن أولئك الذين يرغبون في التخمين قد يلاحظون أن أكثر فاعلي التهديدات تطورًا الذين يستغلون تقنيات الحافة، وخاصة منتجات Cisco، هم عادةً من الصين. بالإضافة إلى ذلك، في مدونتها الأخيرة، كتبت Talos أن UAT-8616 “يتداخل مع شبكات صندوق التشغيل التشغيلي (ORB)” التي تتبعها، حيث تعتبر ORBs الأكثر شيوعًا بين المجموعات الصينية.
يجب على المنظمات التي تأمل في تجنب UAT-8616 تنفيذ التصحيح الذي أصدرته Cisco مؤخرًا لـ CVE-2026-20182. خلاف ذلك، “تحمل الطائرات المركزية عواقب أكبر عندما تحدث ثغرة، لأن وحدة تحكم واحدة مخترقة يمكن أن تؤثر على الشبكة الكاملة،” تحذر جوناه بيرغس، باحث أمني أول في Rapid7.
على الرغم من المخاطر الكبيرة الناتجة عن الثغرات التي يبدو أنها تتزايد بسرعة هذه الأيام، يقترح بيرغس أن لا تتردد المنظمات كثيرًا. “تساعد إدارة SD-WAN المركزية في حل مشكلات تشغيلية حقيقية، والهندسة المعمارية نفسها ليست العيب،” كما يقول.
لا تفوت أحدث حلقة من بودكاست Dark Reading Confidential، كيف أصبحت قصة اختبار اختراق USB فيروسية. قبل عقدين من الزمن، نشرت Dark Reading أول قطعة بارزة لها – عمود من مختبر اختبار اختراق قام برش محركات أقراص USB مزيفة حول موقف ائتمان مصرفي وترك الموظفين الفضوليين يفعلون الباقي. تنظر هذه الحلقة إلى القطعة التاريخية مع مؤلفها، ستيف ستاسيكونيس. استمع الآن!
للحفاظ على أمان شبكتك، تأكد من تطبيق التصحيحات المناسبة ومتابعة أحدث التهديدات. ابق على اطلاع دائم لحماية منظمتك من المخاطر المستقبلية.
