تعتبر ثغرة CVE-2026-20127 في نظام سيسكو SD-WAN واحدة من أخطر الثغرات التي تم اكتشافها مؤخرًا، حيث تم استغلالها لأكثر من ثلاث سنوات. في هذه المقالة، نستعرض تفاصيل هذه الثغرة وأثرها على الأمن السيبراني.
كشفت شركة سيسكو اليوم عن وجود ثغرة أمنية حرجة من نوع “zero-day” في وحدة التحكم Catalyst SD-WAN الخاصة بها، والتي تم استغلالها في البرية لمدة “ثلاث سنوات على الأقل”.
تُتبع الثغرة، التي تم تصنيفها كـ CVE-2026-20127، كعيب في تجاوز المصادقة مع درجة CVSS قصوى تبلغ 10. يمكن للمهاجم إرسال طلبات مصممة بشكل خاص إلى الأنظمة الضعيفة وتسجيل الدخول إلى وحدات التحكم كـ مستخدم داخلي عالي الامتيازات وغير جذر، وفقًا لنشرة سيسكو الأمنية.
عند الكشف عن هذه الثغرة، حذرت سيسكو من “استغلال محدود” في البرية. في نفس اليوم، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية في الولايات المتحدة (CISA) توجيهًا طارئًا يتطلب من الوكالات الفيدرالية المدنية إصلاح CVE-2026-20127، بالإضافة إلى ثغرة Catalyst SD-WAN القديمة الثانية التي تُتبع كـ CVE-2022-20775، بحلول يوم الجمعة. عادةً ما تعطي CISA الوكالات الفيدرالية المدنية أسبوعين لإصلاح الثغرات التي تم استغلالها في البرية، لكنها أحيانًا تصدر توجيهات طارئة بمواعيد نهائية أقصر لإصلاح الثغرات التي تشكل خطرًا أكبر على الحكومة.
تفاقمت الحالة عندما نشرت سيسكو تالوس منشورًا في المدونة يوم الأربعاء يكشف أن نشاط استغلال CVE-2026-20127 يعود إلى “ثلاث سنوات على الأقل (2023)”. ربط المنشور بدليل صيد التهديدات المكون من 41 صفحة الذي نشره مركز الأمن السيبراني الأسترالي، والذي شارك في تأليفه CISA ووكالة الأمن القومي الأمريكية (NSA) وشركاء دوليين آخرين.
“أظهرت التحقيقات التي أجراها الشركاء الاستخباراتيون أن الفاعل قد تمكن من التصعيد إلى مستخدم الجذر عبر خفض إصدار البرنامج،” كما جاء في منشور المدونة. “ثم استغل الفاعل CVE-2022-20775 قبل العودة إلى إصدار البرنامج الأصلي، مما سمح له فعليًا بالحصول على وصول الجذر.”
يتم تتبع الباحثين في سيسكو تالوس لنشاط الاستغلال وما بعد الاختراق تحت اسم UAT-8616، الذي وصفوه بأنه “فاعل تهديد سيبراني متطور للغاية”. لكن من غير الواضح من هو UAT-8616، وما الشبكات التي اخترقها.
غموض UAT-8616
وفقًا لدليل صيد التهديدات، حددت وكالات الاستخبارات الدولية أن فاعل تهديد واحد على الأقل قد قام باختراق Cisco SD-WAN، المعروف آنذاك باسم SD-WAN vSmart، منذ عام 2023. تم تحديد مصدر الاختراقات على أنه CVE-2026-20127 في أواخر عام 2025.
لم تحدد الوكالات أنواع المنظمات التي تعرضت للاختراق أو عدد الضحايا المتأثرين بهجمات UAT-8616. ومع ذلك، كانت جميع الأنشطة التي لاحظها المحققون مقتصرة على مكونات SD-WAN، دون أي دليل على الحركة الجانبية خارج تلك الأنظمة وبدون برمجيات التحكم والسيطرة (C2).
أوضح دليل صيد التهديدات أن استغلال CVE-2026-20127 سمح للفاعل بإضافة نظير غير مصرح به إلى إدارة Cisco SD-WAN ونظام التحكم. “النظير غير المصرح به هو فاعل يتحكم فيه، غير مصرح به، ولكنه موثوق الآن على نظام إدارة شبكة SD-WAN (NMS)،” كما جاء في الدليل.
استخدم الفاعل آلية التحديث المدمجة لخفض إصدار وحدة تحكم vSmart إلى إصدار سابق يحتوي على ثغرات تصعيد محلية معروفة، بما في ذلك CVE-2022-20775. بعد خفض إصدار النظام، استغل CVE-2022-20775 وأنشأ حسابات محلية من أجل الاستمرارية.
“استخدم الفاعل ما كان من المحتمل أنه استغلال متاح للجمهور لهذه الثغرة لتشغيل أوامر كمستخدم جذر،” وفقًا للدليل.
تظل هوية UAT-8616 غامضة، نظرًا لعدم وجود أدلة تُركت وراءها. ومع ذلك، أشار سكوت كافيزا، مهندس أبحاث كبير في Tenable، في منشور مدونة إلى أن ثغرات سيسكو كانت أهدافًا شائعة للمجموعات المدعومة من الدول.
“لقد عُرف الفاعلون المدعومون من الدول، بما في ذلك Salt Typhoon وVolt Typhoon، باستغلالهم السابق لأجهزة سيسكو، لذا من الضروري اتخاذ إجراءات فورية لمعالجة هذه الثغرات،” كتب كافيزا.
تخفيف CVE-2026-20127
سلطت سيسكو تالوس الضوء على نشاط استغلال CVE-2026-20127 كجزء من نمط أكبر لسلوك فاعل التهديد في السنوات الأخيرة. “تشير محاولات استغلال UAT-8616 إلى اتجاه مستمر لاستهداف أجهزة حافة الشبكة من قبل الفاعلين السيبرانيين الذين يسعون لإقامة موطئ قدم دائم في المنظمات ذات القيمة العالية، بما في ذلك قطاعات البنية التحتية الحرجة (CI)،” كما جاء في منشور المدونة.
حثت سيسكو بشدة العملاء على تحديث وحدات التحكم Catalyst SD-WAN الخاصة بهم إلى إصدار مصحح في أسرع وقت ممكن وتقييد الوصول إلى الوحدات من الشبكات غير الآمنة مثل الإنترنت العام. “أنظمة سيسكو Catalyst SD-WAN التي تتعرض للإنترنت والتي تحتوي على منافذ معرضة للخطر معرضة لخطر التعرض للاختراق،” كما صرحت الشركة العملاقة في مجال الشبكات.
بالإضافة إلى ذلك، أوصت سيسكو المنظمات بتعطيل الوصول عبر HTTP لبوابة إدارة Catalyst SD-WAN وتغيير كلمة المرور الافتراضية للمسؤول إلى كلمة مرور أكثر أمانًا.
لتحديد الاختراقات المحتملة، حثت الوكالات الاستخباراتية العملاء على تحليل وحداتهم للتحقق من وجود نظير غير مصرح به، وخفض الإصدارات، وإعادة التشغيل غير المتوقعة. كما نصح دليل صيد التهديدات العملاء بحماية وحدات التحكم SD-WAN بجدران نارية، وتمكين التسجيل المركزي، واستخدام “الإصدار الذهبي” من البرنامج. “هذا يضمن أن SD-WAN يمكنه تنفيذ أحدث ميزات الأمان،” كما جاء في الدليل.
تعد معالجة ثغرة CVE-2026-20127 أمرًا حيويًا لحماية الأنظمة والشبكات. يجب على جميع المستخدمين اتخاذ الإجراءات اللازمة لضمان أمان أنظمتهم.
