أقران مارقون ووصول الجذر: داخل الاستغلال السري لـ Cisco SD-WAN

العنوان الفرعي: ثغرة حرجة في Cisco تركت شبكات العالم مكشوفة أمام مهاجمين متخفّين لأكثر من عام - إليك كيف جرى الأمر وما الذي هو على المحك.

بدأ الأمر في الظلال، حين تسلّل المهاجمون متجاوزين الدفاعات الرقمية عبر ثغرة لم تكن Cisco قد أصلحتها بعد. وبينما كان مسؤولو الشبكات نائمين، انضمّت أجهزة مارقة بهدوء إلى شبكات SD-WAN المؤسسية، متنكرةً في هيئة أقران موثوقين. كان الاختراق صامتًا، لكن العواقب لم تكن كذلك: فقد حصل المهاجمون على وصول مميّز إلى قلب شبكات المؤسسات، تاركين وراءهم سلسلة من الأنظمة المخترقة. والآن فقط، مع تسابق الوكالات الحكومية للاستجابة، بدأت الصورة الحقيقية لحجم الأزمة تتكشف.

حقائق سريعة

استغلال يوم الصفر: أساء المهاجمون استخدام خلل Cisco Catalyst SD-WAN (CVE-2026-20127) منذ ما لا يقل عن 2023 قبل الإفصاح العلني.
أقصى درجة خطورة: حصلت الثغرة على 10.0 كاملة على مقياس CVSS، ما يتيح تجاوز المصادقة وإدخال أجهزة مارقة.
تأثير عالمي: أصدرت وكالات اتحادية في الولايات المتحدة والمملكة المتحدة توجيهات عاجلة للتحديث والتحقيق في عمليات نشر SD-WAN حول العالم.
تقنيات متخفّية: صعّد الفاعلون التهديديون الامتيازات عبر خفض إصدار البرمجيات، واستغلال ثغرة أخرى، ثم إعادة الإصدار الأصلي لتفادي الرصد.
لا حلول بديلة: تقول Cisco إن الترقية إلى إصدار مُصلَح هي وحدها التي تخفف الثغرة بالكامل - ولا توجد إصلاحات مؤقتة.

تشريح عملية سطو شبكي حديثة

الثغرة التي تقف في قلب هذه الأزمة، CVE-2026-20127، كانت كامنة دون اكتشاف في متحكمات ومديري Catalyst SD-WAN من Cisco - وهي مكونات أساسية تنسّق الاتصالات الآمنة بين الفروع ومراكز البيانات وبيئات السحابة. وقد سمحت الثغرة، المتجذرة في آلية مصادقة اقتران معطوبة، للمهاجمين بإرسال طلبات مُصاغة خصيصًا تخدع النظام ليقبلهم كمستخدمين ذوي امتيازات.

وبمجرد الدخول، تمكن المهاجمون من إضافة أقران مارقين - أجهزة تبدو شرعية لكنها تحت سيطرتهم. كان بإمكان هذه الأقران الظلية إنشاء اتصالات مشفرة، والإعلان عن شبكات خبيثة، وتوفير منصة انطلاق لتوغلات أعمق. ووفقًا لـ Cisco Talos، تشير الأدلة إلى أن جهة تهديد متقدمة، يجري تتبعها باسم UAT-8616، استخدمت هذه التقنية منذ وقت مبكر في 2023، مستهدفةً عمليات النشر السحابية والمحلية على حد سواء.

كان دليل المهاجمين ماكرًا: بعد الحصول على وصول أولي، كانوا يخفضون إصدار برمجيات النظام لاستغلال ثغرة منفصلة (CVE-2022-20775)، ثم يرفعون الامتيازات إلى صلاحيات الجذر، وبعدها يعيدون البرنامج الثابت الأصلي لطمس آثارهم. وقد ترك ذلك آثارًا قليلة - وأحيانًا لم يبقَ سوى سجلات عُبث بها أو أحداث اقتران غير مفسّرة كدلائل.

دفعت خطورة التهديد إلى إصدار توجيهات طارئة مشتركة من CISA والمركز الوطني للأمن السيبراني في المملكة المتحدة، تُلزم الوكالات بتدقيق بيئات SD-WAN وتحديثها وتعزيزها. والإرشادات واضحة: لا تعرّض واجهات إدارة SD-WAN للإنترنت العام مطلقًا، واجمع الأدلة الجنائية الرقمية، وتعامل مع أي حدث مصادقة أو اقتران غير متوقع على أنه اختراق محتمل.

ويُحثّ المسؤولون على تمشيط السجلات بحثًا عن عمليات تسجيل دخول مشبوهة، ومفاتيح SSH غير مصرح بها، وأدلة على خفض إصدارات البرمجيات - وهي علامات على أن المهاجمين ربما تجاوزوا دفاعاتهم بالفعل. وإذا اشتُبه في وصول الجذر، فإن إعادة بناء نظيفة هي المسار الآمن الوحيد للمضي قدمًا.

دروس من الظلال

هذه الحادثة تذكير صارم: حتى أكثر معماريات الشبكات متانة يمكن أن تُقوَّض بسبب ثغرة واحدة مُهملة. وفي السباق بين المهاجمين والمدافعين، تظل اليقظة، والتحديث السريع، والصيد الاستباقي للتهديدات أفضل الدروع. بالنسبة لمن يشغّلون Cisco SD-WAN، وقت التحرك هو الآن - قبل أن يتسلل قرين مارق آخر بصمت إلى الشبكة.

WIKICROOK

Zero: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
SD: تعني SD التطوير الآمن (Secure Development)، أي تضمين ممارسات الأمن طوال عملية إنشاء البرمجيات لتقليل الثغرات وتعزيز حماية التطبيقات.
Authentication Bypass: تجاوز المصادقة هو ثغرة تتيح للمهاجمين تخطي عملية تسجيل الدخول أو خداعها، والحصول على وصول إلى الأنظمة دون بيانات اعتماد صالحة.
Root Access: وصول الجذر هو أعلى مستوى من التحكم بالنظام، ويتيح إجراء تغييرات غير مقيدة أو حذفًا أو وصولًا إلى أي ملفات وإعدادات على الجهاز.
Indicators of Compromise: مؤشرات الاختراق هي دلائل أو أدلة تكشف أن نظامًا أو شبكة قد تكون تعرضت للاختراق من قبل مهاجمين سيبرانيين.