كشفت شركة ماندياント (Mandiant) للأبحاث الأمنية عن تفاصيل دقيقة حول سلسلة هجمات استغلّت ثغرة يوم الصفر (Zero-Day) في منتجات Cisco Catalyst SD-WAN، مما أتاح للمهاجمين الحصول على صلاحيات الجذر (Root) الكاملة على الأجهزة المستهدفة وإنشاء حسابات مخفية فيها.
الثغرة وطبيعتها
تحمل الثغرة المعرّف CVE-2026-20245، وهي ثغرة حقن أوامر (Command Injection) عالية الخطورة تؤثر في كلٍّ من مدير شبكات SD-WAN (vManage)، والمتحكم (vSmart)، والمحقق (vBond) من شركة سيسكو. تنشأ الثغرة من قصور في التحقق من صحة المدخلات التي يوفّرها المستخدم، وتتيح لمهاجم موثّق يملك وصولاً محلياً تنفيذ أوامر اعتباطية بصلاحيات الجذر عبر رفع ملف مُعدّ خصيصاً.
كانت سيسكو قد أفصحت عن الثغرة في وقت سابق من الشهر الجاري، محذّرةً من استغلالها في عدد محدود من الهجمات دون الخوض في التفاصيل، ومؤكدةً عدم توفر أي حلول مؤقتة وضرورة الترقية الفورية إلى الإصدارات المُرقّعة.
كيف جرت الهجمات
وفق تقرير ماندياント، لم تكن CVE-2026-20245 نقطة الدخول الأولى للمهاجمين، بل أداةً لتصعيد الصلاحيات بعد اختراق مبدئي. ففي مارس 2026، رُصدت اتصالات نظير مارقة (Rogue Peer Connections) غير مصرّح بها على بنية تحتية لأحد مزودي الخدمات، إذ تمكّن المهاجمون من الاتصال بأجهزة SD-WAN Manager باستخدام حساب vmanage-admin.
يرجّح الباحثون أن هذه الاتصالات المارقة نشأت عبر استغلال ثغرتَي تجاوز المصادقة (Authentication Bypass) CVE-2026-20127 وCVE-2026-20182 اللتين سبق الإعلان عنهما، وإن ظلّ الأسلوب الدقيق غير محسوم. وقد أفادت سيسكو بأن بعض حالات الاختراق ربما استُخدمت فيها شهادات رقمية مسروقة من عمليات اختراق سابقة.
بعد تأمين الوصول الأولي، غيّر المهاجمون كلمة مرور حساب المسؤول الافتراضي، ودخلوا إلى واجهة الويب لـSD-WAN Manager، ثم استخرجوا معلومات التهيئة (Configuration) الخاصة بأجهزة الحافة والمتحكمات والقوالب. والأكثر لفتاً أنهم أعادوا كلمة المرور إلى قيمتها الأصلية بعد إتمام مهمتهم، في محاولة واضحة للتملص من الرصد.
ملف CSV خبيث وحساب جذر مخفي
استغل المهاجمون الثغرة CVE-2026-20245 عبر ميزة رفع الملفات الخاصة بالمستأجرين (Tenant-Upload) في واجهة سطر الأوامر (CLI)، إذ رفعوا ملف CSV خبيثاً أطلقوا عليه اسم "evil_tenant.csv". عمل هذا الملف على إنشاء نسخ احتياطية من ملفات إعداد النظام، من بينها /etc/passwd و/etc/shadow، قبل إنشاء حساب جديد باسم "troot" يحمل صلاحيات الجذر الكاملة. ثم استخدم المهاجمون أمر "su" في نظام لينكس للتحوّل من الحساب الإداري المخترق إلى حساب الجذر الجديد، محقّقين بذلك سيطرة تامة على الجهاز.
أساليب التمويه ومحو الآثار
أبدى المهاجمون احترافاً لافتاً في إخفاء آثارهم، إذ اعتمدوا منهجية تقنية الطب الشرعي المضاد (Anti-Forensics) على نطاق واسع؛ فحذفوا ملف CSV الخبيث، وأزالوا الملفات المؤقتة التي أُنشئت خلال الهجوم، ومحوا أي دليل على وجود حساب الجذر المارق، فضلاً عن تنفيذ نص برمجي للتحقق من نجاح عملية المحو قبل الانسحاب.
توصيات
- **الترقية الفورية**: تحديث منتجات Cisco Catalyst SD-WAN إلى أحدث الإصدارات البرمجية التي تتضمن إصلاح CVE-2026-20245 وما سبقها من ثغرات.
- **جمع بيانات التشخيص**: فحص أجهزة SD-WAN بحثاً عن علامات الاتصالات غير المصرّح بها أو التغييرات غير المبررة في الإعدادات.
- **مراجعة الحسابات**: التدقيق في قوائم الحسابات على الأجهزة والتحقق من عدم وجود حسابات مشبوهة ذات صلاحيات مرتفعة.
- **مراجعة مؤشرات الاختراق**: الاطلاع على قائمة عناوين IP الخبيثة ومؤشرات الاختراق (IOCs) التي نشرتها ماندياント واستخدامها في عمليات الرصد والكشف.
