ثغرات حرجة في محرك Cisco Snort 3 تهدد أمن الشبكات
كشفت شركة سيسكو عن وجود ثغرتين أمنيتين حرجتين في محرك اكتشاف التهديدات Snort 3، مما يشكل مخاطر جسيمة على البنية التحتية لأمن الشبكات المستخدمة في العديد من منتجات الشركة. وتسمح هذه الثغرات للمهاجمين عن بعد بتعطيل خدمات فحص الحزم أو استخلاص معلومات حساسة.
تؤثر هذه الإخفاقات الأمنية على برمجيات Cisco Secure Firewall Threat Defense، وSnort 3 مفتوح المصدر، وبرنامج Cisco IOS XE المزود بقدرات Unified Threat Defense، بالإضافة إلى أجهزة Cisco Meraki المختلفة. ويعد هذا الاكتشاف خطوة مهمة نحو تعزيز أمن الشبكات في ظل التهديدات المتزايدة.
آلية الهجوم والبروتوكولات المتأثرة
تنشأ الثغرات من التعامل غير السليم مع طلبات بيئة الحوسبة الموزعة والبروتوكول المحلي (DCE/RPC). يمكن للمهاجمين استغلالها عن طريق إرسال طلبات DCE/RPC مصممة خصيصاً عبر اتصالات شبكة مراقبة بواسطة Snort 3. وتبدأ الهجمات دون الحاجة إلى أي شكل من أشكال المصادقة، مما يجعلها شديدة الخطورة على الأنظمة المعرضة للإنترنت.
وفقاً لما ذكره محللو سيسكو، فإن السبب الجذري يكمن في عدم كفاية التحقق من منطق تحليل بروتوكول DCE/RPC ضمن محرك OSnort 3. عند معالجة عدد كبير من طلبات DCE/RPC، يفشل منطق معالجة المخزن المؤقت في إدارة حدود الذاكرة بشكل صحيح، مما يؤدي إلى حالات استخدام للذاكرة بعد تحريرها أو قراءة خارج حدود المخزن المؤقت المخصص.
فهم آلية عمل الثغرات الأمنية
تحدث الثغرة الأولى، المسماة CVE-2026-20026، نتيجة لحالة “استخدام بعد التحرير” (use-after-free) في معالجة المخازن المؤقتة. يمكن أن يؤدي ذلك إلى إعادة تشغيل غير متوقعة للمحرك وظروف حرمان من الخدمة (Denial of Service)، مما يعطل القدرة على فحص الحزم.
أما الثغرة الثانية، CVE-2026-20027، فتنتج عن خلل في القراءة خارج الحدود (out-of-bounds read). يتيح هذا الخلل للمهاجمين استخلاص بيانات حساسة تمر عبر محرك الفحص، مما يهدد سرية المعلومات.
| معرف الثغرة | التأثير | درجة CVSS |
|---|---|---|
| CVE-2026-20026 | حرمان من الخدمة | 5.8 |
| CVE-2026-20027 | تسريب معلومات | 5.3 |
يعتمد المهاجمون على إرسال عدد كبير من طلبات DCE/RPC عبر اتصال قائم، مما يؤدي بشكل متعمد إلى إساءة التعامل مع المخزن المؤقت. تستجيب البنية التحتية بإما تسريب بيانات حساسة من مناطق الذاكرة المجاورة أو الانهيار تماماً.
الإجراءات الوقائية وتوصيات سيسكو
أصدرت سيسكو إصدارات محدثة لمعالجة هذه الثغرات، بما في ذلك Snort 3.9.6.0 وتحديثات سريعة متعددة لبرنامج Secure FTD. وتشمل هذه التحديثات إصلاحات لمشاكل الأخطاء البرمجية مثل CSCwq75339 وCSCwr21376 وCSCwq75359 وCSCwr21389، والتي ترتبط مباشرة بتلك الثغرات.
تنصح سيسكو المؤسسات بتطبيق هذه التحديثات على الفور لضمان استعادة الحماية الكاملة ضد هذه التهديدات على مستوى الشبكة. ويعد الحفاظ على تحديث الأنظمة من أهم إجراءات الأمن السيبراني.