تحذير أمني عالمي: استغلال واسع لثغرة خطيرة في أجهزة Cisco Catalyst SD-WAN يهدد الشبكات حول العالم

كشف باحثون في مجال الأمن السيبراني عن تصاعد كبير في استغلال ثغرة أمنية حديثة في أجهزة Cisco Catalyst SD-WAN، حيث تحولت الثغرة من هجوم محدود إلى عمليات استغلال واسعة النطاق عبر الإنترنت، ما يثير مخاوف متزايدة لدى المؤسسات والشركات التي تعتمد على هذه الأنظمة في إدارة شبكاتها.

تصاعد محاولات الاستغلال من عناوين IP متعددة

أفادت شركة إدارة التعرضات الأمنية WatchTowr بأنها رصدت زيادة ملحوظة في محاولات استغلال الثغرة الأمنية المعروفة باسم CVE-2026-20127، والتي تم اكتشافها في البداية كثغرة Zero-Day قبل أن تبدأ جهات التهديد في استخدامها بشكل متزايد لاستهداف الأنظمة المكشوفة على الإنترنت.

وبحسب التقارير، فقد رصد فريق الاستخبارات الاستباقية للتهديدات في WatchTowr محاولات استغلال قادمة من عدد كبير من عناوين IP الفريدة، ما يشير إلى انتشار الهجمات بين عدة جهات تهديد وليس جهة واحدة فقط.

استغلال الثغرة مع ثغرة أقدم لتجاوز الحماية

تشير التحقيقات إلى أن المهاجمين استغلوا الثغرة CVE-2026-20127 بالتزامن مع ثغرة أقدم تحمل المعرف CVE-2022-20775، ما مكّنهم من تنفيذ سلسلة من الهجمات المتقدمة التي تشمل:

• تجاوز آليات المصادقة الأمنية
• تصعيد الصلاحيات داخل النظام
• تثبيت وصول دائم إلى الأنظمة المخترقة

هذا النوع من الهجمات المركبة يزيد من خطورة الثغرة ويجعلها تهديدًا مباشرًا للبنية التحتية الرقمية للمؤسسات.

ربط الهجمات بجهة تهديد متقدمة

من جانبها، ربطت وحدة استخبارات التهديدات التابعة لشركة Cisco والمعروفة باسم Cisco Talos هذه الهجمات بجهة تهديد متقدمة تحمل الاسم UAT-8616.

ووفقًا للتحليل الأمني، فإن هذا الفاعل الخبيث يتمتع بقدرات تقنية متقدمة، وقد بدأ نشاطه على الأقل منذ عام 2023، إلا أن هويته الحقيقية أو دوافعه ما تزال غير معروفة حتى الآن.

انتشار الهجمات عالميًا وذروة النشاط في 4 مارس

قال Ryan Dewhurst، رئيس استخبارات التهديدات الاستباقية في WatchTowr، إن وتيرة استغلال الثغرة ارتفعت بسرعة كبيرة خلال الأيام الماضية.

وأوضح أن الهجمات لم تعد تقتصر على أهداف محددة كما كان في السابق، بل أصبحت هجمات واسعة النطاق على مستوى الإنترنت.

وأضاف:

“لم يعد النشاط مقتصرًا على هجمات موجهة، بل أصبح ينتشر عبر الإنترنت بشكل متزايد.”

كما أشار إلى أن الباحثين رصدوا قيام المهاجمين بزرع WebShells داخل الأنظمة المخترقة بهدف الحفاظ على وصول دائم إليها.

وسجلت البيانات الأمنية أكبر ارتفاع في نشاط الهجمات يوم 4 مارس، حيث انتشرت الهجمات في عدة مناطق حول العالم، مع تسجيل نشاط أعلى نسبيًا في الولايات المتحدة مقارنة بمناطق أخرى.

الكشف عن ثغرتين إضافيتين في Cisco SD-WAN

وفي سياق متصل، قامت شركة Cisco بتحديث تنبيه أمني كانت قد نشرته في 25 فبراير، لتكشف عن وجود ثغرتين إضافيتين في أنظمة Catalyst SD-WAN يمكن استغلالهما من قبل مهاجمين لديهم صلاحيات دخول للنظام، وهما:

• CVE-2026-20128
• CVE-2026-20122

وتتيح هاتان الثغرتان إمكانية تصعيد الصلاحيات داخل النظام، ما قد يمنح المهاجمين قدرة أكبر على السيطرة على الأجهزة المستهدفة.

ورغم ذلك، لم تكشف الشركة حتى الآن عن تفاصيل تقنية دقيقة حول كيفية تنفيذ الهجمات، لكنها أشارت إلى أن هذه الثغرات قد يتم استغلالها ضمن سلسلة من الثغرات المتعددة.

تحذيرات أمنية للمؤسسات

يحذر خبراء الأمن السيبراني من أن وتيرة الاستغلال قد تستمر في الارتفاع خلال الفترة القادمة، خاصة مع دخول جهات تهديد جديدة إلى ساحة الهجمات.

وأكد الخبراء أن أي نظام مكشوف يستخدم Cisco Catalyst SD-WAN يجب اعتباره مخترقًا بشكل محتمل حتى يتم التحقق من سلامته بالكامل.

توصيات أمنية عاجلة

ينصح المختصون المؤسسات التي تستخدم حلول Cisco SD-WAN باتخاذ الإجراءات التالية بشكل فوري:

• تحديث الأنظمة وتثبيت آخر التصحيحات الأمنية
• مراجعة سجلات النظام بحثًا عن أي نشاط مشبوه
• تقييد الوصول إلى واجهات الإدارة
• مراقبة الشبكة لاكتشاف أي محاولات اختراق

مع استمرار تصاعد الهجمات السيبرانية عالميًا، تؤكد هذه الحادثة أهمية تحديث الأنظمة الأمنية بشكل دوري وتعزيز إجراءات الحماية لمنع استغلال الثغرات قبل إصلاحها.