أصدرت سيسكو تحديثات أمنية لمعالجة ثغرة خطيرة في برنامج Unified Communications Manager، والتي تتيح للمهاجمين غير المصرح لهم الوصول إلى النظام وتنفيذ أوامر بصلاحيات الجذر. وتكمن أهمية هذه الثغرة في إمكانيتها للوصول إلى بيانات حساسة والتحكم الكامل بالنظام، مما يستدعي انتباه مسؤولي أمن المعلومات في مختلف المؤسسات.
تم اكتشاف هذه الثغرة، التي تحمل المعرف CVE-2026-20230، من قبل باحث مستقل بالتعاون مع SSD Secure Disclosure. وبمجرد اكتشافها، تم نشر رمز تجريبي (Proof-of-Concept) لها، مما يزيد من خطورة الموقف ويجعل احتمالية استغلالها في هجمات فعلية أمراً وارداً.
ثغرة Cisco Unified Communications Manager: تفاصيل وخطر
تعتبر الثغرة من نوع “تزوير طلبات الخادم” (Server-Side Request Forgery)، حيث تفشل أنظمة Unified CM و Session Management Edition في التحقق بشكل صحيح من بعض طلبات HTTP. هذا القصور يسمح لطالب مُصاغ بعناية بأن يدفع الخادم إلى كتابة ملفات عشوائية على نظام التشغيل الأساسي.
تُعد هذه الملفات بمثابة نقطة انطلاق للمهاجم. فوفقًا لسيسكو، يمكن استخدام هذه الملفات لاحقًا لتصعيد الامتيازات إلى صلاحيات الجذر (root)، وهي أعلى مستوى صلاحيات في النظام. هذا يعني أن المهاجم يستطيع التحكم الكامل في الجهاز المتأثر.
التقييم الأمني والتصنيف
على الرغم من أن نظام التقييم المشترك لثغرات الأمان (CVSS) قد منح الثغرة درجة 8.6 (مما يصنفها على أنها عالية الخطورة)، إلا أن سيسكو قامت بتصنيفها على أنها “حرجة”. ويعود هذا القرار إلى أن الثغرة، رغم أنها تبدأ بتأثير على تكامل البيانات فقط، إلا أن نتيجتها النهائية هي الوصول الكامل إلى صلاحيات الجذر.
يُذكر أن درجة CVSS الأساسية قد لا تعكس بالكامل خطورة الثغرة، حيث تركز على مرحلة كتابة الملفات الأولية دون احتساب مرحلة تصعيد الامتيازات اللاحقة. وقد قامت سيسكو لفت انتباه المستخدمين إلى أن الحالة النهائية تشكل تهديدًا كاملاً.
من جهة أخرى، هناك عامل تخفيف مهم لهذه الثغرة، وهو أنها لا تعمل إلا إذا كانت خدمة WebDialer قيد التشغيل. وبشكل افتراضي، لا تكون هذه الخدمة مفعلة. إلا أن هذا لا يعني عدم وجود خطر، خاصة بالنسبة للمؤسسات التي قامت بتفعيل هذه الخدمة سابقاً.
كيفية التحقق وتفعيل التصحيحات
للتحقق مما إذا كانت خدمتك معرضة للخطر، يلزم فتح واجهة Cisco Unified CM Administration، ثم الانتقال إلى Cisco Unified Serviceability. تحت قائمة Tools > Control Center – Feature Services، يتوجب التحقق من حالة خدمة Cisco WebDialer Web Service في قسم CTI Services.
إذا كانت الحالة “Started” (بدء التشغيل)، فهذا يعني أن النظام معرض للثغرة. في هذه الحالة، يصبح تطبيق التصحيحات الأمنية هو الحل الحقيقي والوحيد.
بالنسبة للإصدار 14 من البرنامج، يتمثل التصحيح في 14SU6. أما بالنسبة للإصدار 15، فإن التحديث الكامل (15SU5) من المتوقع إصداره في سبتمبر 2026. إلى ذلك الحين، يمكن استخدام تصحيح COP المؤقت، أو بدلاً من ذلك، إيقاف تشغيل خدمة WebDialer تمامًا.
تاريخ الثغرات في Unified CM
يشهد برنامج Unified Communications Manager بشكل متكرر وجود ثغرات أمنية خطيرة. ففي العام الماضي، تم سحب تحديث بسبب ترك حساب SSH بصلاحيات الجذر (CVE-2025-20509). وفي بداية العام الحالي، قامت سيسكو بتصحيح ثغرة تنفيذ تعليمات برمجية عن بعد (RCE) عبر عدة منتجات صوتية، والتي كانت قيد الاستغلال بالفعل.
تندرج هذه الثغرة الجديدة ضمن هذا النمط، حيث تسمح بمعالجة طلبات غير حساسة ينبغي ألا تصل إلى مكونات خطيرة. مع وجود رمز تجريبي منشور وانتظار أشهر لإصدار التصحيح الكامل للإصدار 15، من المتوقع أن يستغل المهاجمون هذه الثغرة لتحويلها إلى هجوم فعال قبل أن يتم تطبيق التحديثات على نطاق واسع.