أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حديثة تم الكشف عنها، تؤثر على جهاز Cisco Catalyst SD-WAN Controller، ضمن قائمة الثغرات المعروفة والمستغلة (KEV)، مما يلزم الجهات الحكومية الفيدرالية بتصحيح المشكلة بحلول 17 مايو 2026.
تتعلق الثغرة الأمنية، المعروفة بالرقم CVE-2026-20182، بمشكلة حرجة في تجاوز المصادقة، وتحمل درجة 10.0 على نظام تقييم الخطورة (CVSS)، مما يشير إلى أقصى درجات الخطورة.
ثغرة تجاوز المصادقة في Cisco Catalyst SD-WAN Controller
ذكرت وكالة CISA أن “جهاز Cisco Catalyst SD-WAN Controller و Manager يحتوي على ثغرة أمنية تسمح بتجاوز المصادقة، مما يمكّن مهاجماً عن بعد غير مصادق عليه من تجاوز إجراءات التحقق والدخول إلى النظام المتاثر بصلاحيات إدارية”.
في بيان منفصل، نسبت شركة سيسكو استغلال CVE-2026-20182 بنسبة ثقة عالية إلى مجموعة التهديد المعروفة باسم UAT-8616. هذه المجموعة هي نفسها التي استخدمت ثغرة CVE-2026-20127 سابقاً للوصول غير المصرح به إلى أنظمة SD-WAN.
وأضاف فريق Cisco Talos أن “UAT-8616 قامت بإجراءات ما بعد الاختراق مشابهة لما لوحظ عند استغلال CVE-2026-20127 من قبل نفس الجهة الخبيثة. فقد حاول UAT-8616 إضافة مفاتيح SSH، وتعديل تكوينات NETCONF، وتصعيد الصلاحيات إلى المستخدم الجذر (root).”.
تشير التقييمات إلى أن البنية التحتية التي تستخدمها UAT-8616 لتنفيذ هذه الهجمات وأنشطة ما بعد الاختراق تتداخل مع شبكات Operational Relay Box (ORB). كما لاحظت الشركة الأمنية وجود عدة مجموعات تهديد تستغل ثغرات أمنية أخرى، مثل CVE-2026-20133، CVE-2026-20128، و CVE-2026-20122، منذ مارس 2026.
استغلال الثغرات وتهديدات مرتبطة
هذه الثغرات الثلاث، عند استخدامها مجتمعة، يمكن أن تسمح لمهاجم بعيد غير مصادق عليه بالوصول غير المصرح به إلى الجهاز. وقد تم إدراجها بالفعل في قائمة KEV لوكالة CISA الشهر الماضي.
تستغل الأنشطة الحالية كود استغلال متاح للعامة لنشر “أصداف ويب” (web shells) على الأنظمة المخترقة، مما يسمح للمهاجمين بتنفيذ أوامر bash عشوائية. أحد هذه الأصداف، المبنية بلغة JavaServer Pages (JSP)، تم تسميته XenShell، نسبة إلى كود الاستغلال العام الذي أصدرته ZeroZenX Labs.
تم ربط ما لا يقل عن 10 مجموعات تهديد مختلفة باستغلال هذه الثغرات، حيث تقوم هذه المجموعات بنشر أدوات متنوعة تتراوح بين روبوتات الويب، وإطارات عمل التحكم والقيادة (C2)، وأدوات التعدين، وأدوات تسلل بيانات الاعتماد.
توصي سيسكو العملاء باتباع الإرشادات والتوصيات الواردة في البيانات الاستشارية المتعلقة بالثغرات المذكورة أعلاه لحماية بيئاتهم.