Netcrook Logo
👤 KERNELWATCHER
🗓️ 26 Feb 2026   🌍 North America

شبكات الظل: اختراق يوم الصفر في SD-WAN لدى سيسكو يكشف خصوماً خفيين

العنوان الفرعي: استغلّ فاعل تهديد سيبراني نخبة ثغرة حرجة في العمود الفقري لشبكات سيسكو، ما استدعى تحركاً طارئاً حول العالم.

في الساعات الأولى من صباح الأربعاء، ترددت صفارات الإنذار عبر ممرات العالم الرقمية. أصدرت سيسكو، عملاق البنية التحتية للشبكات، تصحيحاً طارئاً لثغرة يوم صفر - بالغة الخطورة إلى حد أنها حصدت العلامة الكاملة 10 على مقياس CVSS لتقييم التهديد. لكن خلف المصطلحات التقنية تختبئ قصة تخفٍّ وتعقيد وسباق مع الزمن، بعدما تسلل قراصنة ذوو مهارات عالية إلى الأنظمة ذاتها المصممة لإبقاء المؤسسات متصلة وآمنة.

في صميم هذا الاختراق تقع منصة Catalyst SD-WAN من سيسكو - وهي بنية تحتية حرجة تربط الفروع ومراكز البيانات وبيئات السحابة عبر تحكم مركزي. تتموضع الثغرة، المتعقبة بالمعرّف CVE-2026-20127، في نظام مصادقة الاقتران (peering) ضمن SD-WAN Controller وManager. ومن خلال إرسال طلبات مُحكمة الصياغة، تمكن مهاجمون عن بُعد من التسلل عبر حواجز المصادقة، متقمصين صفة مستخدمين داخليين ذوي امتيازات.

وبمجرد الدخول، وصل المهاجمون إلى واجهة NETCONF، وهي أداة قوية لتهيئة أجهزة الشبكات. ومع هذا الوصول، استطاعوا التلاعب بنسيج شبكة المؤسسة ذاته - بما قد يشمل إعادة توجيه تدفقات البيانات أو اعتراضها أو تعطيلها دون رصد. ولم يتوقف التعقيد عند ذلك. فبحسب ذراع استخبارات التهديدات لدى سيسكو، Talos، قام الخصوم - الذين أُطلق عليهم UAT-8616 - بربط ثغرة يوم الصفر هذه بثغرة أقدم (CVE-2022-20775)، عبر خفض إصدار البرمجيات لاستغلال الثغرتين معاً وترسيخ وجودهم بامتيازات الجذر.

دفعت خطورة التهديد وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) إلى إضافة الثغرتين إلى كتالوج «الثغرات المعروفة المستغلة» وإصدار التوجيه الطارئ 26-03. وأُمرت الوكالات الفيدرالية بتحديد أنظمة SD-WAN المتأثرة، وتخزين السجلات خارجياً لأغراض التحليل الجنائي، وتحديث جميع الأنظمة خلال يومين - وهي خطوة نادرة تؤكد جسامة الهجوم. كما وُزعت مؤشرات الاختراق (IoCs) بسرعة لمساعدة المؤسسات على البحث عن دلائل التسلل.

وبينما لا يزال الحجم الكامل للحملة قيد التحقيق، لم تنسب سيسكو الهجوم علناً إلى دولة بعينها. غير أن النشاط الأخير لمجموعات مرتبطة بالصين تستهدف منتجات سيسكو قد رفع مستوى اليقظة في القطاع. كما أصدرت الشركة إصلاحات لعيوب إضافية في SD-WAN، رغم أنه لا يُعرف حتى الآن استغلال أي منها.

ومع انقشاع الغبار، يقدّم هذا الاختراق تذكيراً صارخاً: حتى أكثر البنى التحتية موثوقية في العالم يمكن أن تتحول إلى ناقل للهجوم. وفي لعبة القط والفأر للدفاع السيبراني، لا يفصل بين النظام والفوضى على شبكات العالم سوى اليقظة والاستجابة السريعة.

WIKICROOK

  • يوم الصفر: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح بعد، ما يجعله بالغ القيمة والخطورة بالنسبة للمهاجمين.
  • SD: تعني SD «التطوير الآمن» (Secure Development)، أي تضمين ممارسات الأمن طوال عملية إنشاء البرمجيات لتقليل الثغرات وتعزيز حماية التطبيقات.
  • CVSS: نظام CVSS (نظام تسجيل الثغرات الشائع) هو طريقة معيارية لتقييم شدة العيوب الأمنية، بدرجات من 0.0 إلى 10.0.
  • تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلاً من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.
  • مؤشر اختراق (IoC): مؤشر الاختراق (IOC) هو دليل، مثل ملف مشبوه أو عنوان IP، يشير إلى أن نظاماً ما قد تعرض للاختراق.
Cisco SD-WAN zero-day
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news