شبكات الظل: قراصنة نخبة يخترقون Cisco SD-WAN في موجة تجسس عالمية

العنوان الفرعي: وكالات استخبارات «العيون الخمس» تدق ناقوس الخطر مع استغلال جهات تهديد متقدمة لثغرات Cisco SD-WAN حول العالم.

بدأ الأمر بهدوء - ومضات غريبة في السجلات، شذوذات طفيفة في حركة الشبكة، حسابات مسؤول تظهر وتختفي. لكن هذا الأسبوع، انكشف الستار. ففي تحذير مشترك عاجل، نبّه أقوى تحالف استخباراتي في العالم - «العيون الخمس» - إلى أن قراصنة يستغلون بنشاط ثغرات حرجة في تقنية SD-WAN لدى Cisco، مهددين العمود الفقري لشبكات الحكومات والشركات عبر العالم.

حقائق سريعة

أصدرت وكالات «العيون الخمس» (الولايات المتحدة، المملكة المتحدة، أستراليا، كندا، نيوزيلندا) تحذيراً مشتركاً نادراً بشأن استغلالات نشطة لـ Cisco SD-WAN.
الثغرات الرئيسية: يتم استخدام CVE-2026-20127 وCVE-2022-20775 من قبل جهات تهديد متقدمة.
يمكن للمهاجمين الحصول على صلاحيات الجذر (Root)، وسرقة بيانات حساسة، والحفاظ على وجود طويل الأمد داخل الشبكات المستهدفة.
التهديد عالمي، ويطال مؤسسات القطاعين العام والخاص التي تستخدم منتجات SD-WAN من Cisco.
تحث الوكالات على التحقيق الفوري والتخفيف - إذ تعود بعض الاختراقات إلى عام 2023.

داخل الاختراق: كيف تسلل القراصنة متجاوزين البوابات

لم يأتِ التحذير عبثاً. فبحسب وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، فإن استغلال ثغرات Cisco SD-WAN يشكل «خطراً غير مقبول» على الشبكات الفيدرالية. وكرّر المركز الوطني للأمن السيبراني البريطاني (NCSC) الإلحاح نفسه، مؤكداً أن منظمات حول العالم - وليس في الولايات المتحدة فقط - معرضة للخطر.

وفي قلب هذه العاصفة الأمنية ثغرتان: CVE-2026-20127 وCVE-2022-20775. تتيح هذه العيوب للقراصنة تجاوز ضوابط الأمان، ورفع الصلاحيات، وربما الاستيلاء على السيطرة الكاملة على الأنظمة المتأثرة. ويؤكد تنبيه Cisco نفسه أن المهاجمين يمكنهم الوصول إلى بيانات حساسة، والكتابة فوق الملفات، وحتى الحصول على صلاحيات على مستوى الجذر. والأهم أن هاتين الثغرتين مستقلتان - لا يلزم استغلال إحداهما لاستخدام الأخرى - ما يجعل الدفاع أكثر صعوبة.

وقدمت الاستخبارات الأسترالية «دليل صيد» مفصلاً، كاشفة أن جهة سيبرانية متطورة واحدة على الأقل كانت تستغل ثغرة يوم-صفر في Cisco SD-WAN منذ أواخر 2023. طريقة المهاجم: إنشاء جهاز مارق يتنكر كعنصر SD-WAN شرعي، ليحصل على وصول موثوق داخل طبقة الإدارة الحرجة للشبكة. وبمجرد الدخول، يستطيع المتسللون ترسيخ وجودهم، والعبث بالسجلات، والإفلات من الرصد - وهي سمات كلاسيكية لعمليات سيبرانية متقدمة مرتبطة بدول.

ولافت أن الوكالات لم تُسمِّ الجناة، لكن مستوى التعقيد واتساع نطاق الاستهداف عالمياً يشيران إلى جهات ذات موارد كبيرة، وربما مدعومة من دول. ويؤكد رد «العيون الخمس» المنسق خطورة التهديد: فالأمر ليس مجرد عبث إجرامي - بل حملة قد تقوض البنية التحتية الرقمية لدول وقطاعات بأكملها.

ماذا بعد؟

بينما تسارع المؤسسات إلى تطبيق التصحيحات، والبحث عن مؤشرات الاختراق، وتعزيز الدفاعات، تذكّرنا هذه الحادثة بوضوح: حتى أكثر التقنيات موثوقية يمكن أن تتحول إلى أسلحة في أيدي خصوم مهرة. إن التحذير النادر والمنسق من «العيون الخمس» هو نداء للتحرك وطلقة تحذيرية في آن واحد - لا شبكة محصنة، والرضا عن النفس هو أفضل صديق للقراصنة.

WIKICROOK

العيون الخمس: «العيون الخمس» تحالف يضم الولايات المتحدة والمملكة المتحدة وكندا وأستراليا ونيوزيلندا لتبادل المعلومات الاستخباراتية ومعلومات التهديدات السيبرانية.
SD: تعني SD «التطوير الآمن» (Secure Development)، أي تضمين ممارسات الأمان عبر مراحل إنشاء البرمجيات لتقليل الثغرات وتعزيز حماية التطبيقات.
Zero: ثغرة يوم-صفر هي عيب أمني خفي غير معروف لصانع البرمجيات ولا يتوفر له إصلاح، ما يجعلها عالية القيمة والخطورة للمهاجمين.
صلاحيات الجذر: صلاحيات الجذر هي أعلى مستوى من التحكم بالنظام، وتتيح إجراء تغييرات غير مقيدة أو حذفاً أو وصولاً إلى أي ملفات وإعدادات على الجهاز.
الاستمرارية: تشير الاستمرارية إلى تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالباً عبر محاكاة عمليات أو تحديثات شرعية.