هجمات سيسكو: استغلال ثغرات أمان البريد الإلكتروني وVPN

تتعرض مجموعة متنوعة من منتجات أمان سيسكو هذا الشهر لانتقادات، وذلك بفضل حملتين منفصلتين ذات طبيعتين مختلفتين.

في يوم الأربعاء، كشفت سيسكو عن مجموعة جديدة مرتبطة بالصين تُعرف باسم “UAT-9686″، والتي كانت تستغل ثغرة يوم الصفر في أجهزة أمان البريد الإلكتروني من سيسكو التي تعمل على برنامج AsyncOS. تم تصنيف الثغرة، التي تم تتبعها كـ CVE-2025-20393، على أنها “حرجة” بمعدل شدة يبلغ 10 من 10 في نظام تقييم الثغرات الشائعة (CVSS)، ولم يتم تصحيحها بعد.

بعد اكتشاف سيسكو لهذه الثغرة وتلك الحملة، بدأ جهة فاعلة منفصلة وغير معروفة حتى الآن بشن موجة هجوم عنيف ضد الشبكات الافتراضية الخاصة (VPN) من سيسكو، بالإضافة إلى شبكات Palo Alto Networks’ GlobalProtect VPN.

استغلال ثغرة يوم صفر الحرجة من سيسكو بواسطة الصين

يُعتبر AsyncOS نظام التشغيل لجهاز سيسكو Secure Email Gateway، الذي يحمي ضد البريد المزعج والبرمجيات الضارة، وما إلى ذلك، ومدير البريد الإلكتروني والويب الآمن، وهو وحدة مركزية لإدارة ومراقبة عدة أجهزة أمان في وقت واحد. كما هو متوقع، يأتي أمان البريد الإلكتروني من سيسكو مع ميزة حجز البريد المزعج التي تخزن رسائل البريد الإلكتروني المميزة كرسائل مزعجة لفترة من الوقت، تحسبًا لأي إيجابيات خاطئة.

تحدث الثغرة في أجهزة سيسكو فقط عندما تكون مُعدة مع ميزة حجز البريد المزعج، وعندما تكون تلك الميزة قابلة للوصول من الإنترنت. إذا تم استيفاء كلا الشرطين، يمكن للمهاجم تقويض المنطق النظامي العادي والحصول على امتيازات الجذر في نظام AsyncOS الأساسي. ثم يمكنهم تنفيذ أوامر عشوائية تؤثر على الجهاز نفسه، وربما على الأنظمة المتصلة.

لا تحتاج إلى تخيل كيف سيبدو هذا في الممارسة العملية. منذ أواخر نوفمبر على الأقل، كانت جهة فاعلة تهدد قد استغلت بالفعل CVE-2025-20393 كيوم صفر. أطلق سيسكو تالوس على المجموعة اسم UAT-9686، مشيرًا إلى أن أدواتها وبنيتها التحتية وتكتيكاتها وتقنياتها وإجراءاتها (TTPs) تتداخل جميعها مع مجموعات معروفة مثل APT41 وUNC5174.

باستخدام CVE-2025-20393 كنقطة دخول، نفذت UAT-9686 أوامر على مستوى النظام وأسقطت مجموعة متنوعة من البرمجيات الضارة على الأجهزة الضعيفة. وشملت هذه الأدوات أداة النفق مفتوحة المصدر Chisel، وعائلة برمجيات “Aqua” المخصصة.

الحزمة الرئيسية، AquaShell، هي باب خلفي خفيف الوزن مكتوب بلغة بايثون. تخفي UAT-9686 هذا من خلال تسليمه ككتلة مشفرة من البيانات، وعند فك تشفيرها، يتم تضمينها في ملف موجود على النظام. يتم نشر AquaShell جنبًا إلى جنب مع AquaPurge، وهو أداة لمسح السجلات، وAquaTunnel، وهو نسخة قائمة على Go من باب خلفي OSS “ReverseSSH”. ينشئ AquaTunnel اتصالًا عكسيًا آمنًا عبر SSH مع خادم المهاجم، لضمان عمل التحكم في الأوامر (C2) حتى عبر الجدران النارية.

في نصيحة الأمان بتاريخ 17 ديسمبر، أرشدت سيسكو العملاء حول كيفية تحديد وإيقاف حجز البريد المزعج، لأنه حتى الآن ليس لديها تصحيح فعال للثغرة نفسها. أخبرت الشركة Dark Reading في بيان أنه “تقوم حاليًا بالتحقيق في المشكلة وتطوير حل دائم.”

موجة من الهجمات ضد VPNs من سيسكو وPalo Alto

بعد يوم واحد من اكتشاف سيسكو لأول مرة الحملة من UAT-9686، بدأت مجموعة تضم أكثر من 10,000 عنوان بروتوكول إنترنت (IP) بشن هجمات منهجية ضد VPNs من Palo Alto GlobalProtect. في فترة 16 ساعة، أنتجت حملة خبيثة آلية أكثر من 1.7 مليون جلسة مصادقة، تركزت بشكل أساسي ضد منظمات في الولايات المتحدة والمكسيك، وغريبًا، باكستان.

في اليوم التالي، انتقلت نفس الحملة من Palo Alto إلى VPNs من سيسكو. لاحظ باحثو GreyNoise زيادة بمقدار ستة أضعاف في عناوين IP التي تهاجم نقاط نهاية سيسكو في 12 ديسمبر وحده. كانت الهجمات بسيطة، تتبع برمجيًا تدفقات تسجيل الدخول القياسية لـ SSL VPN لفرض القوة على VPNs المحمية بكلمات مرور ضعيفة أو تم اختراقها بالفعل. ثم انتهى كل شيء، تمامًا كما بدأ.

يشرح نوح ستون، رئيس محتوى GreyNoise Intelligence، أن الحملات القصيرة وعالية الحجم مثل هذه “تستخدم غالبًا لجرد الأنظمة المعرضة أو المحمية بشكل ضعيف قبل أن يلاحظ المدافعون ويستجيبون. التحرك بسرعة يقلل أيضًا من خطر تغيير كلمات المرور أو تغيير ضوابط الوصول، ويسمح للمهاجمين بتحديد الأهداف القابلة للتطبيق بكفاءة قبل تغيير البنية التحتية أو التكتيكات.”

يوصي GreyNoise بأن تقوم المنظمات بمراجعة أجهزتها الحافة بجدية وتطبيق كلمات مرور قوية والمصادقة متعددة العوامل (MFA). لكن معرفة ما يجب القيام به شيء، وفعله شيء آخر. يعترف ستون بأن “الضوابط نفسها بسيطة، لكن VPNs هي أنظمة حيوية للأعمال، وغالبًا ما تؤخر التعقيدات التشغيلية والتكوينات القديمة والخوف من تعطيل المستخدمين التغييرات.”