تعتبر الثغرات الأمنية في أنظمة الاتصالات الموحدة من القضايا الحرجة التي تؤثر على العديد من المؤسسات. في هذا السياق، تم استغلال ثغرة صفرية في منتجات سيسكو، مما يثير القلق بين المستخدمين.
تم استغلال ثغرة صفرية تؤثر على مجموعة من منتجات الاتصالات الموحدة من سيسكو من قبل المهاجمين، على الرغم من أن تفاصيل النشاط غير واضحة.
أعلنت سيسكو يوم الأربعاء عن تصحيح الثغرة CVE-2026-20045، وهي ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) في مدير الاتصالات الموحدة (UCM) من سيسكو بالإضافة إلى منتجات أخرى. تمتلك سيسكو 30 مليون مستخدم لـ UCM، الذي يوفر خدمات الصوت والفيديو والاجتماعات والتعاون عبر الإنترنت للمؤسسات، لذا فإن التأثير المحتمل يمكن أن يكون واسع النطاق.
وفقًا لإشعار سيسكو، تنشأ الثغرة من عدم التحقق بشكل صحيح من المدخلات المقدمة من المستخدم في طلبات HTTP: “يمكن للمهاجم استغلال هذه الثغرة عن طريق إرسال سلسلة من طلبات HTTP المصممة خصيصًا إلى واجهة الإدارة المستندة إلى الويب لجهاز متأثر”، كما جاء في الإشعار. “يمكن أن يسمح الاستغلال الناجح للمهاجم بالحصول على وصول على مستوى المستخدم إلى نظام التشغيل الأساسي ثم رفع الامتيازات إلى الجذر.”
بينما حصلت الثغرة على درجة شدة عالية في نظام تقييم الثغرات (CVSS) تبلغ 8.2، قالت سيسكو إنها منحت CVE-2026-20045 تصنيف تأثير أمان (SIR) خاص بها على أنه حرج بسبب إمكانية المهاجمين لتحقيق امتيازات الجذر والسيطرة الكاملة على الأنظمة المستهدفة.
تؤثر الثغرة الصفرية أيضًا على إصدار إدارة جلسات مدير الاتصالات الموحدة (UCM SME)، وخدمة IM & Presence من مدير الاتصالات الموحدة (UCM IM&P)، وUnity Connection، وWebex Calling Dedicated Instance. وقد نسبت الشركة العملاقة في مجال الشبكات اكتشاف ثغرة RCE إلى “باحث خارجي” مجهول.
ثغرة سيسكو صفرية تحت الهجوم، ولكن من أين؟
قالت سيسكو في الإشعار إن فريق استجابة حوادث أمان المنتجات (PSIRT) لديها “على علم بمحاولات استغلال هذه الثغرة في العالم”، وحثت بشدة العملاء على تحديث برامجهم إلى إصدار مصحح.
كما أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) CVE-2026-20045 إلى قائمة الثغرات المعروفة المستغلة (KEV) يوم الأربعاء. وأشارت قائمة KEV إلى أنه غير معروف ما إذا كانت الثغرة قد تم استغلالها في هجمات الفدية.
تواصلت Dark Reading مع سيسكو للتعليق، لكن الشركة لم ترد بحلول وقت النشر.
بينما مصدر نشاط الاستغلال غير واضح، أشار بائع المعلومات الاستخباراتية SOCRadar في منشور مدونة يوم الخميس إلى أن هناك علامات تشير إلى مسح جماعي محتمل للحالات الضعيفة.
“على الرغم من أن التقارير العامة لم تنسب النشاط إلى مجموعة تهديد معينة، إلا أن سلوك الاستغلال الملحوظ يشير إلى أن المهاجمين يقومون بمسح واجهات إدارة الاتصالات الموحدة المكشوفة أو ذات الأمان الضعيف واستغلال الوصول غير المصدق للحصول على موطئ قدم”، كما قال باحثو SOCRadar.
أيضًا يوم الخميس، حذرت Arctic Wolf Labs من أن الثغرة الصفرية من المحتمل أن تجذب المزيد من الانتباه من المهاجمين، نظرًا لطبيعتها وشدتها.
“بينما لم تحدد Arctic Wolf استغلالًا متاحًا للجمهور [PoC]، من المحتمل أن تستمر مجموعات التهديد في استهداف هذه الثغرة بسبب التأثير العالي لتحقيق الوصول على مستوى الجذر”، كما جاء في منشور المدونة. “لقد كانت منتجات سيسكو تاريخيًا أهدافًا شائعة للمهاجمين، كما يتضح من عدة إدخالات سابقة في قائمة الثغرات المعروفة المستغلة (KEV) الخاصة بـ CISA.”
بالفعل، تم استهداف ثغرات سيسكو بشكل كبير من قبل مجموعة متنوعة من المهاجمين في السنوات الأخيرة، وخاصة من قبل خصوم دوليين مرتبطين بجمهورية الصين الشعبية (PRC). في سبتمبر، أعلنت سيسكو عن تصحيح عدة ثغرات صفرية تم استخدامها في حملة تجسس إلكتروني مدعومة من الدولة تعرف باسم “ArcaneDoor.”
مؤخراً، كشفت سيسكو في ديسمبر أن مجموعة التهديد المرتبطة بالصين UAT-9686 كانت تستغل ثغرة صفرية تؤثر على بوابة البريد الإلكتروني الآمن من سيسكو ومدير البريد الإلكتروني والويب الآمن. حصلت الثغرة الحرجة، التي تتبع برمز CVE-2025-20393، على أعلى درجة CVSS تبلغ 10 وتم تصحيحها الأسبوع الماضي.
مع تزايد التهديدات السيبرانية، من الضروري أن تبقى المؤسسات على اطلاع دائم بالتحديثات الأمنية. تأكد من تحديث أنظمتك لحماية بياناتك.
