أعلنت شركة سيسكو (Cisco) معالجة ثغرة حرجة جداً في نظام التشغيل AsyncOS. هذه الثغرة، التي تحمل المعرف CVE-2025-20393، لم تكن مجرد خلل برمجي نظري، بل كانت مدخلاً فعلياً استغلته مجموعات هجومية متطورة مرتبطة بالصين لاختراق أجهزة Cisco Secure Email Gateway وCisco Secure Email and Web Manager. ويكمن الخطر الجوهري هنا في قدرة المهاجم على تنفيذ أوامر برمجية عن بعد بصلاحيات الجذر (Root)، ما يمنحه سيطرة مطلقة على الجهاز وما يمر عبره من بيانات حساسة، خاصة مع رصد الاستغلال في هجمات استهدفت أجهزة مكشوفة مباشرة على شبكة الإنترنت.
تشريح الهجوم: كيف تحولت ميزة إلى ثغرة للسيطرة؟
ينبع الخلل الأساسي من ضعف في عملية التحقق من طلبات HTTP ضمن ميزة Spam Quarantine (حجب البريد المزعج)، وهي ميزة حيوية في إدارة البريد الإلكتروني. ووفقاً للتحليلات الفنية، فإن نجاح الهجوم يتطلب توافر 3 شروط متزامنة، هي:
- أن يعمل الجهاز بنسخة متأثرة من نظام Cisco AsyncOS.
- تفعيل ميزة Spam Quarantine.
- أن تكون هذه الميزة متاحة للوصول من خارج الشبكة (عبر الإنترنت).
لم يتوقف المهاجمون عند مجرد الدخول، بل استخدموا ترسانة برمجية متطورة لضمان البقاء داخل الأنظمة المستهدفة. فقد تم رصد استخدام أدوات نفقية مثل ReverseSSH المعروفة بـ (AquaTunnel) وأداة Chisel لتأمين اتصال مستمر ومخفي. ولتغطية آثارهم، زرعوا أداة AquaPurge لمسح سجلات النظام، بالإضافة إلى باب خلفي مكتوب بلغة بايثون، يدعى AquaShell، مصمم لاستقبال الأوامر المشفرة وتنفيذها بعيداً عن أعين الرقابة التقليدية.
بدأ هذا النشاط المريب في أواخر نوفمبر 2025، وتطور حتى أدركت Cisco حجم الحملة في ديسمبر، ما أدى في النهاية إلى إصدار الحلول الجذرية في منتصف يناير 2026.
الإصدارات المصححة وتدابير الاستجابة العاجلة
لمواجهة هذا التهديد، قدمت Cisco تحديثات دقيقة شملت مختلف الإصدارات المتأثرة. بالنسبة لأجهزة Cisco Secure Email Gateway، فإن الإصدارات 14.2 وما قبلها، بالإضافة إلى الإصدار 15.0، تتطلب الترقية إلى 15.0.5-016. أما الإصدار 15.5 فيحتاج للترقية إلى 15.5.4-012، بينما يعالج الإصدار 16.0.4-016 المشكلة في نسخ 16.0.
وفيما يخص أجهزة Cisco Secure Email and Web Manager، فقد جاءت الحلول في إصدارات 15.0.2-007 للنسخ القديمة، و15.5.4-007 للإصدار 15.5، و16.0.4-010 للإصدار 16.0.
هذه التحديثات لا تكتفي بسد الثغرة البرمجية فحسب، بل تعمل على إزالة أي آليات ثبات (Persistence) قد يكون المهاجمون قد زرعوها أثناء فترة الاختراق.
استراتيجية التحصين: توصيات لحماية البنية التحتية من الاختراق
تتجاوز عملية الحماية مجرد تثبيت التحديثات؛ فهي تتطلب منهجية أمنية شاملة لتقليل سطح التعرض. يجب على فرق أمن المعلومات حصر الوصول إلى واجهات الإدارة وميزة Spam Quarantine من خلال شبكات موثوقة (VPN) فقط، ووضع الأجهزة خلف جدران نارية صارمة. كما ينبغي تشديد الإعدادات عبر تعطيل بروتوكول HTTP غير المشفر لبوابة الإدارة، وإيقاف الخدمات الشبكية غير الضرورية، مع تفعيل آليات المصادقة القوية مثل SAML أو LDAP.
وفي حالة وجود أي اشتباه بوقوع اختراق سابق، يجب التعامل مع الجهاز على أنه مخترق بالكامل بصلاحيات Root. يتطلب ذلك توسيع نطاق التحري ليشمل البحث عن أي محاولات لإنشاء أنفاق اتصال غير مألوفة أو مؤشرات لمحو السجلات. ورغم أن Cisco أكدت أن الاستهداف طال نطاقاً محدوداً، إلا أن الحذر يظل واجباً بانتظار مزيد من التفاصيل حول القطاعات أو الدول التي كانت في مرمى هذه الحملة المنظمة.
