تتعرض شبكات الأعمال لخطر متزايد مع اكتشاف ثغرات أمنية خطيرة واستغلالها بنشاط في برمجيات شبكات “سيسكو” Edge، بما في ذلك جدران الحماية وأنظمة SD-WAN. وقد سبق اكتشاف بعض هذه الثغرات ثلاث سنوات قبل الكشف عنها رسمياً، مما يثير قلقاً واسعاً حول أمن البنية التحتية الرقمية.
وتشير التقارير إلى أن ما لا يقل عن خمس ثغرات من أصل تسع أعلنت عنها “سيسكو” مؤخراً في منتجاتها الأمنية تم استغلالها بالفعل في هجمات نشطة. وتتضمن هذه الهجمات برمجيات الفدية “إنترلوك” التي استغلت ثغرة حرجة في برامج إدارة جدران الحماية قبل أكثر من شهر من إعلان “سيسكو” عنها.
استغلال مكثف لثغرات “سيسكو” الأمنية
شهدت الأسابيع الأخيرة سلسلة من الإعلانات عن ثغرات أمنية في عدد من منتجات “سيسكو” الحيوية. وقد أكدت الأبحاث أن 5 من بين 9 ثغرات مكتشفة تم استغلالها بشكل فعال في البرية. وتثير هذه الظاهرة قلقاً بالغاً بين خبراء الأمن السيبراني، لا سيما أن بعضها تم استغلاله لسنوات دون اكتشاف.
ويشمل هذا التهديد أنظمة SD-WAN، حيث استغل المهاجمون ثغرتين فيها لمدة ثلاث سنوات على الأقل قبل أن تعلن “سيسكو” عنها. وإلى جانب ذلك، أعلنت “سيسكو” عن خمس ثغرات أخرى في أنظمة SD-WAN، أكدت الأبحاث استغلال ثلاث منها بنشاط. وهذا يشير إلى نمط هجومي متزايد يستهدف هذه البنية التحتية الحيوية.
برمجيات الفدية “إنترلوك” تستهدف جدران حماية “سيسكو”
وقد لفت تقرير من “أمازون ثريت إنتليجنس” الانتباه إلى هجوم برمجيات الفدية “إنترلوك” الذي استغل ثغرة حرجة في برامج إدارة جدران الحماية الخاصة بـ “سيسكو”. وقد تم هذا الاستغلال في 26 يناير، أي قبل أكثر من شهر من إعلان “سيسكو” العام عن الثغرة. وقد منح هذا “إنترلوك” ميزة كبيرة في اختراق الأنظمة قبل أن يدرك المدافعون الخطر.
ويعمل برنامج “إنترلوك” على نطاق واسع، متضمناً نصوصاً للاستطلاع بعد الاختراق، وأحصنة طروادة مخصصة للوصول عن بعد، وأدوات شرعية مسيئة. وقد استهدفت هذه المجموعة تاريخياً قطاعات حيوية مثل التعليم والهندسة والبناء والصحة والجهات الحكومية، بهدف زيادة الضغط على المؤسسات للدفع.
تداعيات الثغرات على أمن الشبكات
تضع هذه الثغرات الأمنية المتكررة شبكات الشركات على المحك، خاصة وأنها تستهدف نقاطاً حيوية في البنية التحتية. فالتسلل إلى أنظمة إدارة SD-WAN أو جدران الحماية يعني السيطرة على السياسات، والرؤية، والتوجيه، والتجزئة، وفي كثير من الحالات، الثقة الإدارية على نطاق واسع من البيئة.
ويشير دوغلاس ماكي، مدير استخبارات الثغرات في “رابيد 7″، إلى أن هذه ليست مجرد أخطاء عشوائية، بل هي نقاط ضعف في مستوى الإدارة والتحكم في الأجهزة الطرفية للشبكة، والتي غالباً ما تكون بمثابة نقاط الثقة في بيئات المؤسسات. وهذا يجعلها هدفاً جذاباً للغاية للمهاجمين.
أنماط الهجوم وتوصيات الأمن
يشير الخبراء إلى أن الثغرات غالباً ما يتم اكتشافها في مجموعات، خاصة بعد تحديد ثغرة رئيسية في منتج معين. ويتوقع أن تزداد الهجمات مع قيام مجموعات أخرى بتكييف أو استغلال الأبحاث المتاحة. وقد يشمل ذلك مهاجمين ذوي مهارات أقل.
من جهتها، تستمر “سيسكو” في إصدار تحديثات برمجية وتوفير معلومات استخباراتية لمساعدة العملاء على اكتشاف هذه التهديدات. وقد أثنت “رابيد 7” على استجابة “سيسكو” في توفير الإصلاحات والتوجيهات الحكومية المنسقة. ومع ذلك، يظل السؤال الأكبر حول ما إذا كانت الصناعة تحصل على رؤية مبكرة كافية للثغرات في برمجيات إدارة الحواف.
وتؤكد تكرار استهداف أنظمة الشبكات الطرفية، ما الذي أشار إليه استخدام الثغرات في أنظمة “سيسكو” SD-WAN دون استثناء، على أهمية عدم إهمال الثغرات الأقل شهرة أو تلك ذات الدرجات الأقل في مقياس CVSS. فقد تكون هذه الثغرات، رغم عدم وضوحها، ذات فائدة كبيرة للمهاجمين.
ويظل استغلال المهاجمين للبنية التحتية الطرفية وأنظمة الإدارة يشير إلى أن المدافعين يجب أن يفترضوا حدوث اختراق، وليس مجرد تعرض، عند رؤية عيوب في مستوى المصادقة أو الإدارة مع دليل على استغلال سابق للكشف. وهؤلاء المهاجمون يستثمرون الوقت والجهد في هذه الأنظمة لأن العائد مجزٍ بالتأكيد.