ظل في صندوق الوارد: قراصنة مرتبطون بالصين يخترقون بوابات البريد الإلكتروني من سيسكو بهجمات خفية

ثغرة حرجة من نوع "زيرو داي" في نظام AsyncOS من سيسكو تم استغلالها من قبل مجموعة مقرها الصين، مما ترك أنظمة البريد الإلكتروني للشركات مكشوفة بينما يسارع المدافعون لإيجاد حل.

في صباح هادئ من ديسمبر، استيقظ مسؤولو تكنولوجيا المعلومات حول العالم على تنبيه مخيف: شركة سيسكو، عملاق الشبكات، كشفت عن هجوم إلكتروني نشط وعالي الخطورة يستهدف أجهزة الأمان الرئيسية للبريد الإلكتروني لديها. الجاني؟ مجموعة قرصنة نخبوية مرتبطة بالصين تستغل ثغرة مدمرة لم يتم تصحيحها بعد - ثغرة تمنح وصولاً بمستوى الجذر إلى الأنظمة المصممة أصلاً لحماية المؤسسات من التهديدات الرقمية. ومع مرور الوقت دون توفر تصحيح، يتغير مشهد التهديدات وتزداد التساؤلات: إلى أي مدى وصل الاختراق، ومن سيكون الضحية التالية؟

حقائق سريعة

ثغرة "زيرو داي" CVE-2025-20393 في نظام Cisco AsyncOS يتم استغلالها بنشاط.
الهجمات تعود إلى مجموعة تهديد متقدمة مرتبطة بالصين (UAT-9686) منذ نوفمبر 2025 على الأقل.
الأجهزة المعرضة للخطر هي فقط التي تم تفعيل ميزة "حجر الرسائل المزعجة" فيها ومتصلة بالإنترنت.
المهاجمون يحصلون على وصول بمستوى الجذر، وينشرون أبواباً خلفية مخصصة، ويحافظون على وجودهم الدائم.
لا يوجد تصحيح متاح حتى الآن؛ طُلب من الوكالات الحكومية الأمريكية اتخاذ إجراءات وقائية بحلول 24 ديسمبر 2025.

يتركز الاختراق حول نظام Cisco AsyncOS، نظام التشغيل الذي يدير أجهزة بوابة البريد الإلكتروني الآمن ومدير الويب - بنية تحتية حيوية لتصفية وإدارة الاتصالات المؤسسية. الثغرة المستغلة، والتي حصلت على تصنيف أقصى للخطورة (10.0) على مقياس CVSS، ناتجة عن تحقق غير صحيح من المدخلات. عندما يتم تفعيل ميزة "حجر الرسائل المزعجة" النادرة وتكون مكشوفة للإنترنت، يمكن للمهاجمين تنفيذ أوامر عشوائية بصلاحيات إدارية كاملة.

تشير تحقيقات سيسكو إلى مجموعة تهديد متقدمة مستمرة، تحمل الاسم الرمزي UAT-9686، يُعتقد أنها تعمل من الصين. بدأت حملتهم بهدوء في أواخر نوفمبر 2025، مستهدفة "مجموعة محدودة" من الأجهزة حول العالم. أدوات المهاجمين متطورة: بعد اختراق الجهاز، ينشرون أدوات نفقية مثل ReverseSSH (AquaTunnel) وChisel للحفاظ على وصول سري، ويستخدمون أداة تنظيف السجلات (AquaPurge) لمحو الأدلة. باب خلفي خفيف الوزن يُدعى AquaShell ينتظر طلبات HTTP خاصة، ويفك تشفير التعليمات وينفذها في غلاف النظام - دون الحاجة للمصادقة.

تحذر سيسكو من أن الطريقة الوحيدة الموثوقة لإزالة آلية بقاء المهاجمين هي إعادة بناء الأجهزة المخترقة بالكامل. في هذه الأثناء، يُنصح المؤسسات بفصل الميزات المعرضة للخطر عن الإنترنت، وتطبيق قواعد جدار حماية صارمة، ومراقبة السجلات بحثاً عن نشاط مشبوه، وتعزيز المصادقة. أطلقت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً، مضيفة الثغرة إلى كتالوج الثغرات المستغلة المعروفة وملزمة الوكالات الفيدرالية باتخاذ إجراءات فورية.

ولزيادة القلق، أفادت شركة استخبارات التهديدات GreyNoise بارتفاع في الحملات المنسقة للهجمات العنيفة ضد بوابات VPN - مؤشر آخر على أن المهاجمين يكثفون جهودهم لاختراق حدود المؤسسات من خلال بيانات اعتماد ضعيفة وأنظمة مكشوفة. وبينما لا تستغل هذه الهجمات نفس الثغرة، إلا أن نطاقها وأتمتتها يسلطان الضوء على اتجاه أوسع: مجرمو الإنترنت يفحصون كل نقطة ضعف ممكنة، غالباً بشكل متوازٍ.

بينما يسارع المدافعون لاحتواء التداعيات وتعمل سيسكو على تطوير تصحيح، تبرز هذه الحادثة كتذكير صارخ: حتى أكثر أجهزة الأمان موثوقية يمكن أن تتحول إلى نقطة ضعف إذا تُركت ميزة واحدة دون حماية. في بيئة التهديدات الحالية، اليقظة والاستجابة السريعة هما الدرعان الوحيدان المؤكدان ضد الظلال التي تتربص خلف كل صندوق وارد.

ويكي كروك

زيرو: ثغرة "زيرو داي" هي خلل أمني خفي غير معروف لمطور البرنامج ولا يوجد له حل، ما يجعله ذا قيمة وخطورة عالية للمهاجمين.
صلاحيات الجذر: صلاحيات الجذر هي أعلى مستويات الوصول في النظام، وتسمح بالتحكم الكامل في جميع الوظائف والإعدادات والبيانات. مخصصة للمستخدمين الموثوقين فقط.
الباب الخلفي: الباب الخلفي هو وسيلة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزاً الفحوصات الأمنية العادية، وغالباً ما يستخدمه المهاجمون للسيطرة السرية.
تهديد متقدم مستمر (APT): التهديد المتقدم المستمر هو هجوم إلكتروني طويل الأمد ومستهدف من قبل مجموعات ماهرة، غالباً مدعومة من دول، بهدف سرقة البيانات أو تعطيل العمليات.
الهجوم العنيف: الهجوم العنيف هو أسلوب اختراق آلي يحاول فيه المهاجمون العديد من كلمات المرور أو المفاتيح حتى يجدوا الصحيحة للوصول غير المصرح به.