حذرت شركة سيسكو من استغلال ثغرة أمنية عالية الخطورة تؤثر على نظام Cisco Catalyst SD-WAN Manager، مما يثير قلقاً متزايداً بشأن أمن الشبكات في البنية التحتية للاتصالات.
تُعرف هذه الثغرة بالرمز CVE-2026-20245، وتحمل تقييماً قدره 7.8 من 10 على مقياس CVSS، ما يشير إلى خطورتها. وتطال هذه الثغرة أنواعاً مختلفة من عمليات النشر، بما في ذلك الأنظمة المحلية، وسحابات Cisco SD-WAN Cloud-Pro، والأنظمة المُدارة من سيسكو، بالإضافة إلى الحلول المخصصة للقطاع الحكومي.
ثغرة ejecución تعليمات برمجية عشوائية في Cisco Catalyst SD-WAN Manager
تتعلق الثغرة الأمنية المكتشفة في واجهة سطر الأوامر (CLI) لنظام Cisco Catalyst SD-WAN Manager (المعروف سابقاً باسم SD-WAN vManage) بقدرة مهاجم محلي حصل على صلاحيات على النظام على تنفيذ أوامر عشوائية بصلاحيات المستخدم الجذر (root) عن طريق تحميل ملف مُصمم خصيصاً للنظام المتأثر.
بينت الشركة أن هذه الثغرة تنشأ عن عدم كفاية التحقق من المدخلات التي يقدمها المستخدم. يمكن للمهاجم استغلال ذلك بتحميل ملف مُعد بطريقة تتيح له حقن أوامر sul-commands ورفع صلاحياته إلى مستوى المستخدم الجذر.
وأضافت سيسكو أن استغلال هذه الثغرة يتطلب أن يمتلك المهاجم صلاحيات “netadmin” على النظام المستهدف. وهذا بدوره يستلزم الحصول على بيانات اعتماد صالحة أو استغلال ثغرات أخرى مثل CVE-2026-20182 أو CVE-2026-20127. تذكر سيسكو أنها لا تملك معلومات عن استغلال ناجح للثغرة بطرق أخرى.
ثغرات سابقة تمهد الطريق للاستغلال
في سياق متصل، تم الكشف في الشهر الماضي عن الثغرة CVE-2026-20182، بتقييم CVSS 10.0، والتي تسمح بتجاوز آلية المصادقة. ووصفتها شركة Rapid7 بأنها تمنح مهاجمين عن بعد وغير مصرح لهم إمكانية الوصول إلى صلاحيات إدارية على الأنظمة المتأثرة. وتتشابه هذه الثغرة بشكل كبير مع CVE-2026-20127، وهي حالة أخرى لتجاوز المصادقة تؤثر على نفس المكون.
وقد شهدت كلتا هاتين الثغرتين استغلالاً في الواقع كـ zero-days، مع ربط مجموعة أنشطة تهديدية تُعرف بـ UAT-8616 بسوء استخدام CVE-2026-20127 منذ عام 2023.
وفي بيانها، أشارت سيسكو إلى أنها رصدت حالات محدودة حيث أدى استغلال CVE-2026-20245 إلى تغييرات في الإعدادات تم إرسالها إلى الأجهزة الطرفية. وأثنت الشركة على باحثي Google Mandiant، تشيستر سنغ، بيت بونيياكارن، ولوغيسواران ناداراجان، لاكتشافهم هذه الثغرة الجديدة والإبلاغ عنها. ولا يزال الدافع وراء جهود الاستغلال الأخيرة غير واضح.
لا توجد حالياً تصحيحات متاحة
حتى الآن، لا تتوفر أي تصحيحات فورية أو حلول بديلة للثغرة CVE-2026-20245. تنصح سيسكو العملاء بتحديث برامج SD-WAN الخاصة بهم للتأكد من تطبيق الإصلاحات التي تم إصدارها لـ CVE-2026-20182 في 14 مايو 2026.
كما حذرت الشركة من أن الأنظمة المكشوفة للإنترنت معرضة بشكل أكبر لخطر الاختراق. وللتحقق من مؤشرات الاختراق (IoCs)، يُنصح المستخدمون بفحص ملف “/var/log/scripts.log” بحثاً عن إدخالات تشبه الأمثلة الموضحة.
تزايد التهديدات على أمن الشبكات
تُعد CVE-2026-20245 سابع ثغرة تؤثر على Cisco SD-WAN يتم الإبلاغ عنها كـ “قيد الاستغلال الفعلي” هذا العام وحده، وبالإضافة إليها CVE-2026-20182، CVE-2026-20127، CVE-2026-20122، CVE-2026-20128، CVE-2026-20133، و CVE-2022-20775.
يأتي هذا التنويه عقب أيام من معالجة سيسكو لثغرة أمنية أخرى ذات خطورة عالية في نظام Unified Communications Manager (CVE-2026-20230، بتقييم CVSS 8.6)، والتي أعلنت الشركة عن توفر رمز استغلال تجريبي لها. ولا يوجد دليل حالي على تعرض هذه الثغرة للاستغلال الفعلي.