ثغرة أمنية في شبكة SD-WAN (CVE-2026-20127)

تم اكتشاف ثغرة أمنية بالغة الخطورة، تحمل الرقم CVE-2026-20127 (درجة خطورة CVSS: 10.0)، في كلٍ من Cisco Catalyst SD-WAN Controller وCisco Catalyst SD-WAN Manager من شركة Cisco Systems. تسمح هذه الثغرة لمهاجم عن بُعد غير مصرح له بتجاوز ضوابط المصادقة والحصول على صلاحيات إدارية عن طريق إرسال طلب مُصمم خصيصًا إلى النظام المُعرّض للخطر.

تكمن المشكلة في خللٍ في آلية مصادقة التناظر، مما يسمح للمهاجم بتسجيل الدخول كمستخدم داخلي ذي صلاحيات عالية (ليس مستخدمًا رئيسيًا). وبهذا المستوى من الوصول، يستطيع المهاجمون التفاعل مع خدمات NETCONF والتلاعب بتكوينات بنية SD-WAN، مما قد يُعرّض سلامة شبكات المؤسسة وتوافرها للخطر.

نماذج النشر المتأثرة

تؤثر هذه الثغرة الأمنية على نماذج نشر متعددة، بغض النظر عن التكوين:

• عمليات النشر المحلية
• سحابة سيسكو SD-WAN المستضافة
• خدمة سيسكو السحابية لشبكات SD-WAN المستضافة – خدمة سيسكو المُدارة
• بيئة FedRAMP السحابية المستضافة من سيسكو لشبكة SD-WAN

تواجه الأنظمة المعرضة للإنترنت العام، وخاصة تلك التي تحتوي على منافذ مفتوحة، خطرًا متزايدًا بشكل كبير للاختراق.

الاستغلال النشط ونشاط الجهات الفاعلة المهددة

أكد باحثون أمنيون وجود استغلال نشط يعود تاريخه إلى عام 2023. ويجري تتبع هذه الحملة تحت مسمى UAT-8616، المصنفة ضمن مجموعة التهديدات المتقدمة للغاية. وتشير الأدلة إلى أن المجموعة استغلت هذه الثغرة الأمنية غير المعروفة (اليوم الصفر) لاختراق بيئات Cisco SD-WAN والحصول على صلاحيات وصول موسعة ومستمرة.

تتضمن منهجية الهجوم إنشاء جهاز نظير خبيث ينضم إلى مستوى إدارة أو تحكم شبكة SD-WAN. يظهر هذا الجهاز الخبيث كمكون شرعي مؤقت لشبكة SD-WAN، مما يتيح تفاعلات موثوقة داخل بنية الإدارة التحتية.

بعد اختراق تطبيق متصل بالإنترنت، استغل المهاجمون آلية التحديث المدمجة لتخفيض إصدار البرنامج. يُسهّل هذا التخفيض استغلال الثغرة الأمنية CVE-2022-20775 (درجة خطورة CVSS: 7.8)، وهي ثغرة خطيرة في واجهة سطر الأوامر لبرنامج Cisco SD-WAN تسمح برفع مستوى الصلاحيات. بمجرد الحصول على صلاحيات المستخدم الجذر، يُعيد المهاجمون النظام إلى إصدار البرنامج الأصلي لتقليل احتمالية اكتشافهم.

تشمل الإجراءات التي أعقبت الاختراق والتي تُعزى إلى UAT-8616 ما يلي:

• إنشاء حسابات مستخدمين محلية مصممة لتشبه الحسابات الشرعية

يعكس هذا النشاط اتجاهاً أوسع نطاقاً يتمثل في استهداف الجهات الفاعلة المتطورة للبنية التحتية الطرفية للشبكة من أجل ترسيخ موطئ قدم دائم في بيئات ذات قيمة عالية، بما في ذلك قطاعات البنية التحتية الحيوية.

إرشادات الترقيع والإصلاح

أصدرت سيسكو تحديثات لإصلاح الثغرات الأمنية في العديد من إصدارات برامجها. يجب على المؤسسات التي تستخدم إصدارات معرضة للخطر الترقية إلى الإصدارات المُعالجة، بما في ذلك:

• الإصدارات السابقة للإصدار 20.9.1: الترقية إلى إصدار ثابت
• 20.9: الترقية إلى 20.9.8.2
• 20.11.1: الترقية إلى 20.12.6.1
• 20.12.5: الترقية إلى 20.12.5.3
• 20.12.6: الترقية إلى 20.12.6.1
• 20.13.1، 20.14.1، 20.15: الترقية إلى 20.15.4.2
• 20.16.1 و20.18: الترقية إلى 20.18.2.1

بالإضافة إلى التحديثات الأمنية، ينبغي على المؤسسات إجراء فحص جنائي أمني. تشمل الإجراءات الموصى بها مراجعة ملف /var/log/auth.log بحثًا عن إدخالات تشير إلى "تم قبول المفتاح العام لـ vmanage-admin" صادرة من عناوين IP غير معروفة. يجب التحقق من أي عناوين IP مشبوهة ومقارنتها بعناوين IP الخاصة بالنظام المُكوّنة والمدرجة في واجهة المستخدم الرسومية لبرنامج Cisco Catalyst SD-WAN Manager ضمن الأجهزة > عنوان IP الخاص بالنظام.

للكشف عن حالات التراجع المحتملة أو أحداث إعادة التشغيل غير المتوقعة، يجب تحليل ملفات السجل التالية:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

التفويضات الفيدرالية والاستجابة التنظيمية

استجابةً لحالات استغلال مؤكدة، أضافت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) كلاً من CVE-2026-20127 وCVE-2022-20775 إلى قائمة الثغرات الأمنية المعروفة والمستغلة (KEV). ويتعين على الوكالات الفيدرالية المدنية التابعة للسلطة التنفيذية معالجة هذه الثغرات في غضون 24 ساعة.

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أيضًا التوجيه الطارئ 26-03، بعنوان "الحد من نقاط الضعف في أنظمة Cisco SD-WAN". ويلزم التوجيه الوكالات الفيدرالية بحصر جميع أصول SD-WAN المشمولة، وتطبيق التحديثات الأمنية، وتقييم مؤشرات الاختراق.

تتطلب مواعيد الامتثال من الوكالات ما يلي:

• يرجى تقديم قائمة بجميع أنظمة SD-WAN المشمولة بحلول 26 فبراير 2026، الساعة 11:59 مساءً بتوقيت شرق الولايات المتحدة.
• يرجى تقديم قائمة مفصلة بالمنتجات المتأثرة وإجراءات المعالجة بحلول الساعة 11:59 مساءً بتوقيت شرق الولايات المتحدة في 5 مارس 2026.
• يجب الإبلاغ عن جميع تدابير تحصين البيئة بحلول الساعة 11:59 مساءً بتوقيت شرق الولايات المتحدة في 26 مارس 2026.

تؤكد هذه التطورات على الحاجة الملحة لإدارة التصحيحات الاستباقية والمراقبة المستمرة والتحصين الدفاعي للبنية التحتية لحافة الشبكة للتخفيف من التهديدات المستمرة المتقدمة التي تستهدف بيئات SD-WAN.