يتم استغلال ثغرة يوم الصفر في مدير SD-WAN من Cisco الآن — ولا يوجد تصحيح
أصدرت شركة سيسكو تحذيرًا عاجلاً يوم الخميس يحذر من ثغرة أمنية من نوع zero-day يتم استغلالها بنشاط في برنامج Catalyst SD-WAN Manager — وهو وحدة التحكم المركزية المستخدمة لإدارة البنية التحتية للشبكات الواسعة عبر بيئات المؤسسات. لا يوجد تصحيح متاح. وتطلب الشركة من العملاء التعامل مع ثغرة أمنية مختلفة كإجراء تخفيفي جزئي أثناء تطوير الإصلاح.
تتبع الثغرة الأمنية، التي تم تتبعها باسم CVE-2026-20245، درجة خطورة تبلغ 7.8. وهي تؤثر على واجهة سطر الأوامر في Cisco Catalyst SD-WAN Manager عبر جميع أنواع النشر: المحلي، والسحابي، والسحابي المُدار من سيسكو، وبيئات FedRAMP الحكومية.
كيف تعمل
يكمن الخلل في عدم كفاية التحقق من صحة المدخلات التي يوفرها المستخدم. يمكن للمهاجم الذي حصل بالفعل على امتيازات netadmin — من خلال بيانات اعتماد صالحة، أو سرقة بيانات الاعتماد، أو عن طريق ربط هذا الاستغلال بثغرة أمنية منفصلة لتجاوز المصادقة، وهي CVE-2026-20182 — تحميل ملف مصمم خصيصًا إلى النظام. يؤدي هذا التحميل إلى حقن أوامر يرفع وصول المهاجم إلى صلاحيات الجذر (root) على مضيف SD-WAN Manager.
من هناك، يتفاقم الضرر بسرعة: أكدت سيسكو "حالات محدودة" أدى فيها الاستغلال النشط إلى دفع تغييرات غير مصرح بها في التكوين إلى الأجهزة الطرفية عبر الشبكة الواسعة للمؤسسة المتضررة. هذا ليس خطرًا نظريًا — بل هو ما فعله المهاجمون بالفعل.
تم اكتشاف الثغرة الأمنية والإبلاغ عنها إلى فريق الاستجابة لحوادث أمن المنتجات في سيسكو من قبل شركة Mandiant، التابعة للأمن السيبراني لشركة Google Cloud، في وقت سابق من شهر يونيو.
ما يجب فعله الآن
لا يقدم تنبيه سيسكو تصحيحًا مباشرًا لـ CVE-2026-20245. بدلاً من ذلك، توصي الشركة بالترقية إلى إصدارات البرامج التي تحل ثغرتين أمنيتين سابقتين — CVE-2026-20182 وCVE-2026-20127 — واللتان يمكن أن تكونا شرطين مسبقين لسلسلة الهجوم. يؤدي إصلاح نقاط الدخول هذه إلى إزالة إحدى الطرق الأساسية التي يحصل بها المهاجمون على وصول netadmin اللازم لتفعيل ثغرة zero-day.
قبل الترقية، تطلب سيسكو من المسؤولين تشغيل الأمر request admin-tech من كل مكون تحكم في نشر SD-WAN الخاص بهم للحفاظ على أي مؤشرات على الاختراق لإجراء فحص جنائي لاحق. للتحقق مما إذا كان النظام قد تم استهدافه بالفعل، يجب على المسؤولين فحص ملف /var/log/scripts.log للبحث عن محاولات مشبوهة لتحميل بيانات تكوين المستأجر إلى وحدات التحكم vSmart.
لماذا تعتبر SD-WAN مهمة
يتم نشر Cisco Catalyst SD-WAN عبر شبكات المؤسسات، ومزودي خدمات الإنترنت، والوكالات الحكومية، ومشغلي البنية التحتية الحيوية على مستوى العالم. يُعد SD-WAN Manager العقل الإداري لهذه النشرات — فهو يتحكم في سياسات التوجيه، وقواعد جودة الخدمة، وسياسات الأمان عبر آلاف الأجهزة الطرفية المتصلة المحتملة.
لا يؤثر اختراق المدير على جهاز واحد فقط. بل يمنح المهاجمين نفوذًا على نسيج الشبكة بأكمله. يعني التأكيد على أن نشاط الاستغلال قد أدى بالفعل إلى دفع تغييرات في التكوين إلى الأجهزة الطرفية أن هذا ليس خطرًا نظريًا على المؤسسات — بل هو حادث نشط يحدث في مؤسسات لم تقم بعد بتطبيق التخفيفات.
إذا كانت مؤسستك تدير Cisco Catalyst SD-WAN Manager، فعامل هذا الأمر باعتباره أولوية من الدرجة الأولى (P1). قم بتدقيق سجلاتك، واحتفظ بحالة الطب الشرعي قبل التصحيح، وقم بالترقية فورًا إلى الإصدارات التي تعالج الثغرات الأمنية الأولية.
المصدر: BleepingComputer | HelpNetSecurity