كشفت تقارير أمنية عن رصد ثغرة أمنية حرجة من نوع يوم صفر (Zero-day) تستهدف منصات Cisco Catalyst SD-WAN، وتحمل المعرف CVE-2026-20127. وتشير البيانات التقنية المتاحة إلى أن عمليات استغلال هذه الثغرة بدأت فعلياً منذ عام 2023، حيث جرى استخدامها لتجاوز آليات المصادقة والوصول إلى مكونات التحكم والإدارة الحساسة. وقد مكن هذا الخلل المهاجمين من إدخال عنصر غير مصرح به يُعرف باسم Rogue Peer ضمن نسيج الشبكة، وهو جهاز يتظاهر بأنه جزء شرعي من المنظومة، وصولاً إلى الحصول على صلاحيات الجذر (root) التي تضمن بقاء طويل الأمد داخل البيئة المخترقة.
تتركز المشكلة التقنية في خلل ضمن آلية مصادقة التناظر (Peering Authentication) في بيئة SD-WAN، وهي الوظيفة المسؤولة عن التحقق من هوية الأجهزة التي ترغب في الاتصال بالشبكة لضمان موثوقيتها. ويسمح هذا القصور لمهاجم غير مسجل بإرسال طلبات بيانات مصممة بدقة للوصول إلى حسابات داخلية ذات امتيازات عالية على وحدة التحكم دون الحاجة لامتلاك صلاحيات (root) ابتداءً.
وعقب ذلك، يتم استغلال بروتوكول NETCONF، وهو قناة إدارة شبكات معيارية تستخدم لتنفيذ تعديلات هيكلية على الإعدادات، بهدف تغيير سياسات التوجيه وسلوك الشبكة بشكل كامل.
ويشمل نطاق التأثير وحدات Cisco Catalyst SD-WAN Controller وCisco Catalyst SD-WAN Manager في البيئات المحلية والسحابية. وقد منحت هذه الثغرة تقييماً أمنياً أقصى قدره 10 درجات.
استراتيجيات التسلل وتكتيكات خفض الإصدار لتثبيت السيطرة
أرجعت وحدة Cisco Talos للاستخبارات الأمنية هذه الأنشطة إلى مجموعة تهديدات متطورة تسمى UAT-8616، موضحة أن المهاجمين اتبعوا مساراً احترافياً يبدأ برفع الامتيازات عبر تكتيك خفض إصدار البرمجيات. وتعتمد هذه الطريقة على إعادة النظام إلى إصدار قديم يحتوي على ثغرة سابقة معروفة تحمل الرمز CVE-2022-20775، وبعد استغلالها للحصول على صلاحيات root، يعيد المهاجم النظام إلى إصداره الأصلي الحديث. تهدف هذه المناورة إلى تثبيت أدوات التحكم مع تقليل الآثار الرقمية التي قد تكتشفها أنظمة المراقبة عند حدوث تغييرات غير طبيعية في النسخ البرمجية.
وتكمن الخطورة الفائقة في نجاح المهاجم بإدخال Rogue Peer داخل شبكة SD-WAN، نظراً لأن هذه البيئات تعتمد كلياً على علاقات التناظر والسياسات المدارة مركزياً. فبمجرد قبول هذا الجهاز الدخيل كعنصر شرعي، يتمكن المهاجم من إنشاء قنوات اتصال مشفرة والإعلان عن مسارات شبكة وهمية تخضع لسيطرته.
ويؤدي ذلك إلى تمكين الحركة الجانبية نحو الأنظمة الداخلية عالية القيمة، حيث يتحول الجهاز الدخيل من مجرد نقطة وصول إلى مركز لإعادة توجيه حركة البيانات وتعريف السياسات الأمنية على مستوى البنية التحتية بالكامل.
تحذيرات دولية ودليل تقني لرصد آثار العبث الرقمي
أصدرت وكالات الأمن السيبراني في دول تحالف Five Eyes، بما في ذلك المركز الأسترالي للأمن السيبراني (ACSC)، تنبيهاً عاجلاً تضمن دليلاً متخصصاً لتصيد التهديدات (Cisco SD-WAN Threat Hunt Guide). ويوضح الدليل أن المهاجمين استخدموا بروتوكول NETCONF عبر المنفذ 830 مع تشفير SSH للتواصل بين مكونات الإدارة، وهو نمط قد يختلط مع حركة الشبكة الطبيعية.
كما كشف الدليل عن أساليب متقدمة لمحو الآثار تشمل تنظيف سجلات الأحداث في المسار البرمجي /var/log، وحذف تاريخ الأوامر المنفذة، وإزالة البيانات المتعلقة بعناوين IP الخاصة بالجهاز الدخيل من قاعدة بيانات Elasticsearch في منصة vManage.
تضمنت أنشطة المهاجمين أيضاً تعطيل واجهة الشبكة المسؤولة عن إرسال رسائل التنبيه إلى الخوادم الخارجية، لإعاقة قدرة الفرق الأمنية على بناء تسلسل زمني دقيق للحادثة. وتدعو التوصيات التقنية الحالية إلى ضرورة تدقيق سجلات التناظر والبحث عن أنماط غير معتادة، مثل ظهور أجهزة بأسماء peer-type غير مألوفة أو فترات تشغيل قصيرة جداً. وتتزامن هذه الإجراءات مع صدور توجيهات طارئة من جهات حكومية أمريكية تلزم المؤسسات الفيدرالية بجمع الأدلة الجنائية الرقمية وتطبيق التحديثات الأمنية فوراً، في ظل التهديد الذي تشكله الثغرة على استقرار الشبكات المدارة مركزياً.
