كشفت شركة سيسكو عن 48 ثغرة جديدة في نظام جدران الحماية الخاص بها، مما يثير القلق حول أمان الشبكات.
كشفت شركة سيسكو عن 48 ثغرة في نظام جدران الحماية الخاص بها، اثنتان منها تعتبران حرجة.
تؤثر هذه الثغرات على التقنيات التالية من سيسكو:
-
جهاز الحماية الأمنية التكيفية (ASA)، وهو جدار حماية تقليدي وحالة.
-
جهاز الحماية من التهديدات الآمنة (FTD)، وهو جدار حماية يجمع بين ASA وميزات أخرى متقدمة.
-
مركز إدارة جدار الحماية الآمن (FMC)، وهو النظام المركزي لإدارة جدران الحماية ومنتجات الدفاع ضد التهديدات.
تأتي جميع الثغرات الـ48 مع إصلاحات، وتوصي سيسكو بشدة العملاء بالتحديث إلى أحدث إصدار من البرنامج. وقد تم التأكيد على هذا الأمر من قبل مركز الأمن السيبراني في هولندا (NCSC-NL) في نصيحة أمنية خاصة به في 4 مارس، حيث توقع أن تظهر إثباتات مفاهيم عامة (PoC) ومحاولات استغلال واسعة النطاق للثغرتين الحرجة في المجموعة، والتي تؤثر على Secure FMC.
تسع ثغرات أخرى في نصيحة سيسكو حصلت على درجات “عالية” في نظام تقييم الثغرات الشائعة (CVSS). في الغالب، تعتبر هذه ثغرات حرمان من الخدمة (DoS)، على الرغم من أنها تشمل أيضًا ثغرات حقن SQL ومشكلات الوصول غير المصرح به إلى الملفات. بينما تعتبر بقية المجموعة – المزيد من ثغرات DoS، وثغرات حقن الأوامر، وثغرات البرمجة النصية عبر المواقع (XSS) – من الخطورة المتوسطة.
الثغرات الحرجة في Secure FMC من سيسكو
عدد الثغرات التي تم الكشف عنها هذا الأسبوع لا ينبغي أن يسبب الكثير من الضجة. تكشف سيسكو عن عدد كبير من الثغرات الجديدة التي تؤثر على هذه المجموعة من المنتجات بشكل نصف سنوي. ما يثير القلق أكثر هو الثغرتان اللتان تؤثران على واجهة الويب الخاصة بـ FMC.
هناك CVE-2026-20079، الناتجة عن عملية نظام مشكلة تم إنشاؤها عند بدء التشغيل. من خلال طلبات HTTP مخصصة، يمكن للمهاجمين تجاوز المصادقة وتنفيذ نصوص وأوامر تمنحهم وصولاً جذريًا إلى نظام التشغيل الأساسي لـ FMC.
ثم هناك CVE-2026-20131، وهي مشكلة تسلسل غير آمن. إذا أرسل المهاجم كائن Java متسلسل مصمم خصيصًا إلى واجهة الإدارة القائمة على الويب لـ FMC، يمكنه تنفيذ كود عشوائي عن بُعد ورفع صلاحياته إلى المستوى الجذري.
قد حصلت CVE-2026-20079 وCVE-2026-20131 على أعلى درجة ممكنة 10 من 10 في مقياس CVSS.
“تقوم سيسكو بشكل فعال بتحديد FMC كمركز الأعصاب لإدارة جدران الحماية والتهديدات الموحدة،” يشير جيف ليفورد، المدير المساعد في Fenix24. لتأكيد مدى أهمية هذه القضايا، يقارنها مع الثغرة الأخرى التي حصلت على 10 من 10 في الأسبوع الماضي، في جهاز التحكم Catalyst SD-WAN. كانت تلك الثغرة، CVE-2026-20127، قد تم استغلالها من قبل جهة تهديد غير معروفة ولكنها متطورة في هجمات مستهدفة.
“حيث يمكن أن يمنح اختراق إدارة SD-WAN المهاجمين السيطرة على توجيه المؤسسات بين المواقع، يمكن أن يسمح اختراق FMC للمهاجم بتقويض ضوابط أمان الشبكة على مستوى أعمق بكثير،” يقول ليفورد. “يمكن للمهاجم الذي لديه وصول إداري إلى FMC تعديل قواعد جدار الحماية، وتعطيل ضوابط الفحص، أو دفع تكوينات ضارة عبر عدة أجهزة في وقت واحد.”
الهجمات على الحافة تتجاوز الدفاعات
كانت الهجمات السيبرانية عند حافة الشبكة شائعة منذ عام 2024، بقيادة مجموعات تهديد وطنية، وخاصة تلك المرتبطة بالصين.
جزئيًا، يعود ذلك إلى أن هذه الأجهزة تعتبر نقاط دخول جيدة إلى الشبكات. “العائد من اختراق إدارة الطائرة الواحدة يتجاوز ما تحصل عليه من مئة اختراق لنقاط النهاية،” يقول كولين هوغ-سبيرس، المدير الأول لإدارة الحلول في Black Duck، “لأن جدار الحماية لا يحمي الشبكة فحسب، بل يحدد الشبكة أيضًا.”
واجه البائعون في هذا المجال أيضًا صعوبة كبيرة في سد الثغرات الأمنية في منتجاتهم. يشير هوغ-سبيرس إلى أن المزيد من الثغرات المعروفة المستغلة (KEVs) أثرت على الأجهزة الطرفية في عام 2025 أكثر من أي تقنية أخرى، وفقًا لـ VulnCheck.
حتى أكثر إثارة، وجدت تقرير Verizon لعام 2025 حول التحقيقات في خروقات البيانات (DBIR) زيادة تقارب الثمانية أضعاف في استغلال الثغرات غير المكتشفة للأجهزة الطرفية في عام 2024 مقارنة بعام 2023. وفي فبراير، حاولت وكالة الأمن السيبراني والبنية التحتية (CISA) السيطرة على مشاكلها عند الحافة من خلال التوجيه التشغيلي الملزم (BOD) 26-02، الذي أمر الوكالات الفيدرالية بالعثور على جميع جدران الحماية، والموجهات، وبوابات VPN التي انتهت صلاحيتها والتخلص منها في غضون 18 شهرًا.
“لم تأتِ تلك التوجيهات من نمذجة المخاطر النظرية. بل جاءت من بيانات استجابة الحوادث التي أظهرت مجموعات وطنية تستخدم أجهزة سيسكو، وفورتينيت، وبالو ألتو، وإيفانتي، وجونيبر كأداة الدخول الأولية الخاصة بها على مدى عامين متتاليين،” يقول هوغ-سبيرس.
من وجهة نظره، فإن معظم المنظمات لا تواكب المشكلة. “بنى المدافعون مجموعتهم الكاملة للكشف حول وكلاء نقاط النهاية وتوافق SIEM. تقع الأجهزة الطرفية خارج تلك المجموعة، وتولد سجلاتها الخاصة، وتعمل على برامج ثابتة غير شفافة لا يمكن لأي أداة خارجية فحصها،” يقول. “حتى يتغير هذا الهيكل، ستظل جدران الحماية والأجهزة الطرفية هي المدخل المفضل.”
يوصي هوغ-سبيرس بأن تقوم المنظمات بتشغيل أداة فحص البرامج من سيسكو على الأجهزة المتأثرة في أسرع وقت ممكن، ومراجعة الأجهزة الأخرى عند حافة شبكاتها التي قد تكون معرضة للخطر: “جدار الحماية غير المحدث هو باب مفتوح مع دعوة ترحيب.”
تأكد من تحديث أنظمتك لحماية شبكتك من هذه الثغرات الحرجة.
