شهد شهر مارس 2026 نشاطًا ملحوظًا في استغلال الثغرات الأمنية، حيث رصد باحثون 31 ثغرة ذات تأثير كبير تم استخدامها بنشاط ضد أنظمة فعلية، مستهدفة منتجات من أكثر من 20 بائعًا رئيسيًا. وشملت هذه الشركات مايكروسوفت، وأبل، وجوجل، وسيسكو، مما يؤكد استمرار استهداف المنصات واسعة الاستخدام.
أشارت التقارير إلى أن 29 من هذه الثغرات صنفت بـ “بالغة الأهمية” (Very Critical)، مما يعني أن احتمالية استغلالها كانت مرتفعة وقت اكتشافها. وقد تم استغلال كل هذه الثغرات خلال شهر مارس، مما يعطي فرق الأمن وقتًا محدودًا للاستجابة. اللافت للنظر بشكل خاص هو اكتشاف ثغرة من نوع “اليوم صفر” (Zero-day) تم استغلالها في حملة تستهدف منصة أمن الشبكات من سيسكو قبل توفر أي تصحيح.
زيادة الهجمات الإلكترونية خلال مارس 2026
من بين النقاط البارزة في مشهد الأمن السيبراني لشهر مارس، برزت ثغرة CVE-2017-7921 التي يعود تاريخها إلى تسع سنوات تقريبًا، والتي لا تزال تُستغل بنشاط في الأنظمة التي لم يتم تحديثها. وهذا يسلط الضوء على أن عمر الثغرة قد لا يقلل من خطورتها إذا ظلت الأنظمة معرضة للخطر.
وقد حدد محللو Recorded Future الـ 31 ثغرة، مشيرين إلى أن عشرة منها كان لها أدوات استغلال متاحة للجمهور (Proof-of-Concept) وقت اكتشافها. كما أضافت Insikt Group قوالب اختبار لثغرتين جديدتين عاليتي الخطورة.
الثغرات الرئيسية وتأثيرها
شهد الشهر أيضًا ربط ثغرات متعددة بأنشطة جهات فاعلة تهديد منظمة. تسع ثغرات سمحت بتنفيذ تعليمات برمجية عن بعد عبر منتجات من جوجل، ومايكروسوفت، وأبل، وغيرها. بالإضافة إلى ذلك، تم ربط ثغرتين وأداة استغلال متعددة المكونات بحملات برمجيات خبيثة نشطة، بما في ذلك سلسلة استغلال معقدة لنظام iOS.
ومع ذلك، كان الحدث الأكثر تأثيرًا هو استغلال مجموعة Interlock Ransomware لثغرة يوم صفر في مركز إدارة جدار الحماية الخاص بسيسكو (Cisco Secure Firewall Management Center).
خطر ثغرة سيسكو (CVE-2026-20131)
بدأ استغلال ثغرة CVE-2026-20131 من قبل مجموعة Interlock Ransomware في 26 يناير 2026، أي قبل أسابيع من إصدار سيسكو للإشعار الأمني في 4 مارس. وقد أتاح ذلك للمجموعة التواجد داخل شبكات المؤسسات باستخدام ثغرة لم يكن هناك تصحيح رسمي أو معرفة عامة بها.
تتعلق هذه الثغرة بمركز إدارة جدار الحماية الخاص بسيسكو (FMC)، وهو منصة مركزية يستخدمها المسؤولون لإدارة سياسات جدران الحماية ومراقبة أحداث أمن الشبكات. تم تصنيف هذه الثغرة على أنها مشكلة “عدم التحقق الكافي من بيانات التسلسل غير الموثوق بها” (Deserialization of Untrusted Data) وحصلت على درجة خطورة 99، وهي الأعلى الممكنة.
تكمن آلية الهجوم في إرسال طلب HTTP مصمم خصيصًا إلى واجهة إدارة FMC. نظرًا لفشل النظام في التحقق بشكل صحيح من تدفقات بيانات Java التي يقدمها المستخدم، يمكن للمهاجم إدخال كائن Java مسلسلاً تقوم التطبيق بمعالجته وتنفيذه كرمز له صلاحيات الجذر. بعد ذلك، يقوم المهاجم بسحب برنامج ثنائي خبيث لدعم العمليات اللاحقة داخل الشبكة.
أثناء التواجد داخل الشبكة، تستخدم مجموعة Interlock أدوات وصول عن بعد مخصصة، وويب شيل يتم تخزينه في الذاكرة، وبنية تحتية للتخفي والتحرك عبر الشبكة. تشمل الأنشطة بعد الاختراق الاستطلاع النشط، وجمع البيانات، والحركة الجانبية، واستخدام أدوات مشروعة لسرقة بيانات الاعتماد وتصعيد الامتيازات. الهدف النهائي هو نشر برامج الفدية، لكن نقطة الدخول عبر ثغرة الـ “يوم صفر” في نظام أمن الشبكات هي ما يجعل الحملة خطيرة للغاية.
في 11 مارس 2026، شارك مستخدم على GitHub عينة استغلال (PoC) مزعومة للثغرة CVE-2026-20131. تستخدم هذه العينة أداة مفتوحة المصدر لإنشاء حمولة Java مسلسلة خبيثة وتقديمها إلى نقاط النهاية المرشحة. ويعتمد التحقق من نجاح الاستغلال على تفسير استجابة HTTP 500 كدلالة على تنفيذ الأوامر. يجب على فرق إدارة الثغرات توخي الحذر قبل اختبار أي عينة استغلال في بيئة إنتاجية.