سيسكو: هجمات الصين تستهدف عملاءها بثغرات جديدة

تواجه شبكات الشركات هجوماً جديداً من مجموعة تهديد صينية، تقوم باستغلال ثغرة أمنية حرجة في برمجيات سيسكو المخصصة لأمن البريد الإلكتروني والشبكات منذ أواخر نوفمبر الماضي، بحسب ما أعلنت الشركة يوم الأربعاء. تم اكتشاف الهجمات بواسطة خبراء سيسكو في العاشر من ديسمبر. تحمل الثغرة الرقم CVE-2025-20393، وتصنيف 10 من 10، وتسمح للمهاجمين بتنفيذ أوامر بصلاحيات غير مقيدة وزرع أبواب خلفية في الأجهزة المخترقة.

لا يوجد حالياً تصحيح لهذه الثغرة، ولم تحدد سيسكو موعد إصداره. وأشارت الشركة إلى ملاحظة “تكوينات غير قياسية” في الشبكات التي تعرضت للهجمات، خاصة تلك التي تستخدم ميزة عزل البريد المزعج (spam quarantine) المكشوفة للعامة.

ثغرة أمنية في برمجيات سيسكو تستدعي الحذر

تفاصيل الهجوم الجديد

تعرضت أنظمة سيسكو لنشاط خبيث استهدف استغلال ثغرة أمنية صفرية، مما يضع المستخدمين في موقف حرج. تعود هذه الهجمات إلى مجموعة تهديد صينية متقدمة تُعرف باسم UAT-9686، والتي استخدمت أدوات وبنية تحتية مشابهة لتلك التي تستخدمها مجموعات تهديد أخرى ترعاها الدولة الصينية، مثل APT41 و UNC5174، حسبما أفاد باحثون في سيسكو تالوس.

بدأت الهجمات الفعلية في أواخر نوفمبر، وتم اكتشافها رسمياً في العاشر من ديسمبر، مما يشير إلى فترة استغلال أولي قبل إعلان الشركة. هذه الفترة الزمنية تمنح المهاجمين فرصة لتثبيت وجودهم داخل الأنظمة المستهدفة.

آلية الاستغلال والتأثير

تقع الثغرة الأمنية ضمن برمجيات Cisco AsyncOS، وتؤثر على كل من Cisco Secure Email Gateway و Cisco Secure Email and Web Manager. وتسمح إمكانية تنفيذ أوامر تامة الصلاحية للمهاجمين بتثبيت أبواب خلفية مستمرة، مما يمنحهم وصولاً طويل الأمد للنظام المخترق.

تم تصنيف الثغرة باستخدام مقياس CVSS، وحصلت على أعلى تقييم ممكن (10 من 10)، مما يعكس خطورتها الشديدة. وهذا يعني أن أي شخص لديه القدرة على استغلالها يمكنه السيطرة الكاملة على الأجهزة المتأثرة.

تكوينات غير قياسية تزيد المخاطر

أوضحت سيسكو أن استغلال هذه الثغرة مرتبط بتكوينات معينة، تحديداً استخدام ميزة عزل البريد المزعج (spam quarantine) التي يتم عرضها علناً. وأكدت الشركة أن هذه الميزة ليست مفعلة افتراضياً، مما يعني أن الأنظمة التي تم اختراقها كانت تتطلب إجراءً استثنائياً من قبل المسؤولين لتفعيلها وعرضها.

من جهة أخرى، أشارت تقارير إلى أن هذا الارتباط بالتكوينات غير القياسية لا يعني تحميل المسؤولية للمستخدمين، بل هو تفصيل فني مهم يساعد على تقييم احتمالية الاستغلال. ومع ذلك، يبقى برنامج سيسكو هو المسؤول عن تصحيح الخلل في برمجياته.

توصيات وإجراءات احترازية

نصحت سيسكو العملاء بالاطلاع على الإرشادات المقدمة في إعلانها لتحديد مدى تعرضهم واتخاذ الخطوات اللازمة للتخفيف من المخاطر. وتشمل هذه الخطوات عزل الأنظمة المتأثرة أو إعادة بنائها.

من جانبها، أضافت وكالة الأمن السيبراني والبنية التحتية (CISA) هذه الثغرة الصفرية إلى قائمة الثغرات المعروفة التي يتم استغلالها. ولا تزال الشركة ترفض الإجابة عن عدد العملاء المتأثرين، مما يزيد من حالة عدم اليقين.

سوابق هجمات مجموعات التهديد الصينية

تُعد هذه الهجمات جزءاً من نمط متكرر لمجموعات التهديد الصينية التي تستغل ثغرات سيسكو. كما شهدت الأشهر الماضية حملة واسعة شملت ثغرات أمنية صفرية في جدران حماية سيسكو، مما استدعى إصدار أمر توجيهي للطوارئ في سبتمبر الماضي.

بحسب بيان سيسكو، لا يوجد دليل يربط الهجمات الحالية بتلك التي وقعت في وقت سابق من العام. وكانت سيسكو قد نسبت الهجمات السابقة إلى نفس مجموعة التهديد المسؤولة عن حملة في أوائل عام 2024 استهدفت أجهزة سيسكو، والتي أطلقت عليها اسم “ArcaneDoor”.