تم الكشف عن ثغرة أمنية خطيرة للغاية في أنظمة Cisco Catalyst SD-WAN Controller و Catalyst SD-WAN Manager، وهي ثغرة استغلها مهاجمون بشكل نشط منذ عام 2023. هذه الثغرة، التي تحمل الرقم CVE-2026-20127، تمنح المهاجمين غير المصرح لهم القدرة على تجاوز آليات المصادقة والحصول على صلاحيات إدارية كاملة على الأنظمة المتأثرة.
تمكن المهاجمون من استغلال عيب في آلية مصادقة نظير إلى نظير (peering authentication) للوصول إلى الأنظمة. وبحسب تحذيرات سيسكو، فإن النجاح في استغلال هذه الثغرة يتيح للمهاجمين الحصول على صلاحيات عليا للمستخدمين غير المرتبطين بالجذر (non-root)، مما يمكنهم من التلاعب بتكوينات الشبكة.
ثغرة Cisco Catalyst SD-WAN Controller و Catalyst SD-WAN Manager
تؤثر هذه الثغرة، ذات التصنيف الأقصى (CVSS 10.0)، على إصدارات متعددة من برمجيات Cisco Catalyst SD-WAN Controller و Manager، بغض النظر عن طريقة النشر. وتشمل هذه الإصدارات الإنظمة المنشورة محلياً (On-Premises)، والأنظمة المستضافة على سحابة سيسكو، بما في ذلك البيئات المدارة من سيسكو والبيئات الحكومية (FedRAMP).
تم الإبلاغ عن الثغرة من قبل المركز الأسترالي للأمن السيبراني التابع لمديرية الإشارات الأسترالية (ASD-ACSC). وتتابع سيسكو نشاط الاستغلال والأنشطة اللاحقة تحت الاسم الرمزي UAT-8616، واصفةً الجهة المهاجمة بأنها “جهة تهديد سيبراني متطورة للغاية”.
كيفية استغلال الثغرة والتداعيات
وفقاً للمعلومات الصادرة عن ASD-ACSC، فإن الجهة المهاجمة UAT-8616 قد نجحت في اختراق أنظمة Cisco SD-WAN منذ عام 2023 باستخدام ثغرة يوم الصفر (zero-day exploit)، مما سمح لها بالحصول على وصول إضافي. وقد أكد المركز الأسترالي أن الثغرة سمحت “لمهاجم سيبراني خبيث بإنشاء نظير مزيف ضمن مستوى إدارة الشبكة أو مستوى التحكم الخاصة بشبكة SD-WAN الخاصة بالمؤسسة.”
بعد نجاح الاختراق الأولي للتطبيقات المكشوفة للإنترنت، لجأ المهاجمون إلى استخدام آلية التحديث المدمجة، واستغلوا ثغرة أخرى (CVE-2022-20775، CVSS 7.8) لتصعيد الصلاحيات إلى مستوى الجذر (root) قبل استعادة الإصدار الأصلي للبرنامج.
الإجراءات المتخذة والتوجهات المستقبلية
تتضمن بعض الخطوات اللاحقة التي اتخذها المهاجمون إنشاء حسابات مستخدمين محلية مشابهة للحسابات الأصلية، وإضافة مفاتيح SSH للوصول بصلاحيات الجذر، وتعديل نصوص بدء التشغيل المتعلقة بـ SD-WAN. كما تم استخدام بروتوكول NETCONF على المنفذ 830 وبروتوكول SSH للتواصل بين أجهزة Cisco SD-WAN داخل مستوى الإدارة، مع خطوات نشطة لمسح آثار الاختراق.
تؤكد سيسكو أن الأنظمة التي تواجه الإنترنت والتي تحتوي على منافذ مكشوفة معرضة لخطر الاختراق. وتنصح العملاء بمراجعة ملفات السجل “/var/log/auth.log” للبحث عن إدخالات تتعلق بـ “Accepted publickey for vmanage-admin” من عناوين IP غير معروفة أو غير مصرح بها.
توصيات وكالة الأمن السيبراني الأمريكية
دفعت هذه التطورات وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى إضافة كل من CVE-2022-20775 و CVE-2026-20127 إلى قائمة الثغرات المعروفة والمستغلة (KEV)، مما يلزم الوكالات الفيدرالية المدنية بتطبيق الإصلاحات خلال 24 ساعة.
توصي CISA بتحليل سجلات إضافية مثل “/var/volatile/log/vdebug” و “/var/log/tmplog/vdebug” للتحقق من إجراءات تخفيض إصدارات البرامج وأحداث إعادة التشغيل غير المتوقعة. وأصدرت الوكالة توجيهاً طارئاً جديداً يتطلب من الوكالات الفيدرالية جرد أجهزة SD-WAN، وتطبيق التحديثات، وتقييم أي اختراقات محتملة، مع مواعيد نهائية محددة لتقديم تقارير حول هذه الإجراءات.