أصدرت سيسكو تحديثات لمعالجة ثغرة خطيرة للغاية في نظام Cisco Catalyst SD-WAN Controller، والتي تسمح بتجاوز المصادقة. وقد تم استغلال هذه الثغرة بالفعل في عدد محدود من الهجمات، مما يستدعي اهتماماً عاجلاً من مسؤولي أمن المعلومات.
تُعرف الثغرة برقم CVE-2026-20182، وتمتلك واحداً من أعلى درجات الخطورة على مقياس CVSS، حيث بلغت 10.0، مما يشير إلى مستوى عالٍ من المخاطر عند استغلالها.
وفقاً لسيسكو، فإن الثغرة تقع في آلية المصادقة بين الأقران في Cisco Catalyst SD-WAN Controller (المعروف سابقاً باسم SD-WAN vSmart) و Cisco Catalyst SD-WAN Manager (المعروف سابقاً باسم SD-WAN vManage). يمكن لمهاجم خارجي، غير مصادق عليه، استغلال هذه الثغرة عن بعد للحصول على صلاحيات إدارية على النظام المتأثر.
ثغرة Cisco Catalyst SD-WAN Controller وتداعياتها الأمنية
تنشأ مشكلة الثغرة من خلل في آلية المصادقة الخاصة بالأقران، والذي يمكن للمهاجم استغلاله عبر إرسال طلبات مُصممة بشكل خاص إلى النظام المتأثر. يسمح النجاح في استغلال الثغرة للمهاجم بتسجيل الدخول إلى Cisco Catalyst SD-WAN Controller كحساب داخلي ذي صلاحيات عالية، ولكنه ليس حساب الجذر (root).
بعد ذلك، يمكن للمهاجم استغلال هذه الصلاحيات للوصول إلى واجهة NETCONF والتلاعب بتكوين الشبكة الخاصة بشبكة SD-WAN. هذا يمنح المهاجم سيطرة واسعة على البنية التحتية للشبكة، مما قد يؤدي إلى تعطيل الخدمة، أو سرقة البيانات، أو حقن حركة مرور خبيثة.
تشمل الأنظمة المتأثرة بهذه الثغرة:
- عمليات النشر المحلية (On-Prem Deployment).
- Cisco SD-WAN Cloud-Pro.
- Cisco SD-WAN Cloud (بإدارة سيسكو).
- Cisco SD-WAN for Government (FedRAMP).
من جهة أخرى، اكتشفت شركة Rapid7، التي عثرت على الثغرة CVE-2026-20182، أن هناك ثغرة مشابهة، تحمل رقم CVE-2026-20127، ولها درجة خطورة 10.0 أيضاً، وتؤثر على نفس المكون. وتشير التقارير إلى أن ممثل تهديد معروف باسم UAT-8616 كان يستغل هذه الثغرة منذ عام 2023 على الأقل.
وأوضح باحثو Rapid7، جوناه بيرجس وستيفن فيور، أن هذه الثغرة الجديدة تؤثر على خدمة ‘vdaemon’ عبر بروتوكول DTLS (المنفذ UDP 12346)، وهي نفس الخدمة التي كانت عرضة للثغرة CVE-2026-20127. وأكدا أن الثغرة الجديدة ليست مجرد تجاوز لتحديث الثغرة القديمة، بل هي مشكلة مختلفة تقع في جزء مشابه من مكدس شبكات ‘vdaemon’.
ومع ذلك، فإن النتيجة النهائية متشابهة؛ حيث يمكن لمهاجم خارجي غير مصادق عليه استغلال CVE-2026-20182 ليصبح قرينًا مصادقًا عليه بالجهاز المستهدف، وتنفيذ عمليات ذات امتيازات عالية. هذا يؤكد على الحاجة الملحة لتطبيق التحديثات لحماية الأنظمة.
في نشرتها الأمنية، أشارت سيسكو إلى أنها أصبحت على علم بـ “الاستغلال المحدود” لهذه الثغرة في مايو 2026، وحثت العملاء على تطبيق أحدث التحديثات في أقرب وقت ممكن. هذا التاريخ يشير إلى أن الثغرة قد تكون نشطة ومعرضة للهجوم.
وذكرت الشركة أيضاً أن أنظمة Cisco Catalyst SD-WAN Controller التي يمكن الوصول إليها عبر الإنترنت والتي تكون منافذها مكشوفة، معرضة لخطر اختراق أكبر. وتوصي العملاء بمراجعة سجلات الملف “/var/log/auth.log” بحثًا عن مدخلات متعلقة بـ “Accepted publickey for vmanage-admin” من عناوين IP غير معروفة أو غير مصرح بها.
من المؤشرات الأخرى التي قد تدل على وجود اختراق، هو ظهور أحداث اقتران مشبوهة في السجلات. تشمل هذه الأحداث اتصالات غير مصرح بها تحدث في أوقات غير متوقعة، أو تأتي من عناوين IP غير معروفة، أو تتضمن أنواع أجهزة غير متوافقة مع بنية البيئة الحالية.