متنصتون غير مرئيين: اختراق يوم-صفر في Cisco SD-WAN يضع البنية التحتية الحيوية في مرمى النيران

العنوان الفرعي: ثغرة خفية في منصة SD-WAN لدى سيسكو تركت الشبكات العالمية مكشوفة أمام اختراق على مستوى الجذر من قبل مهاجمين متقدمين.

مع بزوغ الفجر فوق مدينة هادئة، حدّق مهندسو الشبكات في شركة مرافق كبرى غير مصدّقين في لوحات المراقبة: سلسلة من تغييرات التهيئة غير المفسّرة كانت تنتشر عبر وحدات تحكم Cisco SD-WAN. ما لم يعرفوه - حتى الآن - هو أنهم كانوا يشاهدون آثار استغلال يوم-صفر، استغلال منح المهاجمين مفاتيح مملكتهم الرقمية بهدوء لأشهر، وربما لسنوات.

حقائق سريعة

CVE-2026-20127: ثغرة يوم-صفر حرجة في Cisco Catalyst SD-WAN Controller وManager، نشطة منذ عام 2023 على الأقل.
درجة CVSS 10.0: الخلل يتيح لمهاجمين غير موثّقين الحصول على صلاحيات إدارية - وفي النهاية صلاحيات الجذر.
المهاجمون يتجاوزون الضوابط: الاستغلال يمكّن من التلاعب بطبقات SD-WAN الافتراضية، بما في ذلك شبكات VPN والتوجيه.
تهديد مستمر: مرتبط بالمجموعة المتقدمة “UAT-8616” التي تستهدف سلاسل توريد البنية التحتية الحيوية.
لا حلول بديلة: لا يخفف التهديد سوى تطبيق التصحيحات والمراقبة اليقظة.

وفقًا لإفصاح سيسكو الأخير، تنبع الثغرة الحرجة - المتتبعة تحت CVE-2026-20127 - من مصادقة اقتران (peering) غير سليمة في Catalyst SD-WAN Controller (المعروف سابقًا باسم vSmart) وManager (vManage). هذا الخلل، الذي ينال العلامة الكاملة 10.0 على مقياس مخاطر CVSS، جرى استغلاله بنشاط من قبل مجموعة تهديد متقدمة أُطلق عليها “UAT-8616”. وتشير الأدلة إلى أن هؤلاء المهاجمين كانوا يتجاوزون حواجز المصادقة بهدوء منذ عام 2023 على الأقل، قبل وقت طويل من معرفة العالم بوجود الثغرة.

سلسلة الهجوم فعّالة على نحو مقلق. فمن خلال إرسال طلبات مُصاغة خصيصًا، يستطيع خصم عن بُعد انتحال شخصية مستخدم داخلي ذي امتيازات - من دون الحاجة إلى كلمة مرور. ومن هناك، يصل إلى بروتوكول NETCONF القوي، ما يتيح له إعادة تهيئة نُسُج الشبكة، أو تعطيل التجزئة، أو زرع أبواب خلفية دائمة. والأسوأ: تستغل UAT-8616 حيلة خفض إصدار البرمجيات لتصعيد الامتيازات عبر استغلال ثانٍ (CVE-2022-20775)، ثم تعيد بهدوء الإصدار الأصلي للبرمجيات، ممّا يمحو آثار التسلل.

هذه الحملة تجسّد اتجاهًا مقلقًا: المهاجمون يحوّلون تركيزهم إلى أجهزة حافة الشبكة - تلك التي تصل الأنظمة الداخلية بالعالم الخارجي. عبر الاستيلاء على وحدات تحكم SD-WAN، يمكن للخصوم إعادة توجيه الحركة، أو تهريب بيانات حساسة، أو إطلاق هجمات فدية عميقًا داخل سلسلة التوريد. وبالنسبة للبنية التحتية الحيوية - المرافق، والرعاية الصحية، والتمويل - فإن الرهانات وجودية.

الكشف صعب. وتُحث فرق الأمن على تمحيص سجلات SD-WAN بحثًا عن أحداث اقتران غير مصرح بها، خصوصًا من عناوين IP غير مألوفة أو في أوقات غير معتادة. إن خفض إصدارات البرمجيات غير المبرر، والاستخدام الشاذ لـ NETCONF، وتغييرات التهيئة غير المتوقعة - all كلها إشارات إنذار. ومع ذلك، قد تُخفي حتى الأنشطة التي تبدو شرعية اختراقًا، نظرًا لمهارة المهاجمين في الاندماج.

ومع عدم وجود حلول بديلة قابلة للتطبيق، فإن إرشادات سيسكو العاجلة واضحة: طبّق التصحيحات فورًا، وراجع السجلات التاريخية بحثًا عن مؤشرات اختراق تعود إلى عام 2023، وعزّز تجزئة الشبكة. وينبغي للمؤسسات نشر أدوات مراقبة متقدمة والاستعداد لعزل الأنظمة المتأثرة وتدوير بيانات الاعتماد عند أول بادرة مشكلة.

إن الكشف عن هذا الاختراق من نوع يوم-صفر تذكير صارخ: في مباراة الشطرنج المتواصلة بين المدافعين والمهاجمين، لا رهان آمن سوى اليقظة والاستجابة السريعة. في عصر المتنصتين غير المرئيين، قد تكون كل خانة سجل مُهملة بداية لاختراق كارثي.

WIKICROOK

Zero: ثغرة يوم-صفر هي خلل أمني مخفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
SD: تعني SD التطوير الآمن (Secure Development)، أي تضمين ممارسات الأمن طوال عملية إنشاء البرمجيات لتقليل الثغرات وتعزيز حماية التطبيقات.
Root: الجذر (Root) هو أعلى مستوى وصول في أنظمة Unix/Linux، يمنح تحكمًا كاملًا بالجهاز وكل إعداداته وملفاته ومستخدميه.
Peering Authentication: مصادقة الاقتران تتحقق من هوية أجهزة الشبكة قبل إنشاء اتصالات موثوقة، ما يمنع الوصول غير المصرح به ويعزز أمن الشبكة.
NETCONF: NETCONF هو بروتوكول يتيح تهيئة وإدارة أجهزة الشبكة عن بُعد بشكل آمن ومؤتمت، مما يحسن قابلية التشغيل البيني والكفاءة التشغيلية.