يشهد المشهد الأمني لمنصات الإدارة المركزية تصعيداً ملحوظاً في وتيرة الاستهداف، وهو ما تجلى في إدراج وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة جديدة في منصة Cisco Catalyst SD-WAN Manager ضمن قائمة الثغرات المستغلة فعلياً (KEV).
يأتي هذا الإجراء في إطار المتابعة الدقيقة للهجمات المستمرة التي تستهدف بيئات الشبكات واسعة النطاق المعرفة بالبرمجيات (SD-WAN) التابعة لشركة Cisco، وذلك استكمالاً لسلسلة من التنبيهات الصادرة خلال شهري فبراير ومارس من عام 2026.
وتعكس هذه الخطوة رصداً حثيثاً لنشاطات استغلال نشطة في بيئات تشغيل حقيقية؛ استدعى فرض مهلة زمنية وجيزة على الجهات الفيدرالية الأمريكية لضمان معالجة هذا الخلل وتأمين الأنظمة بشكل عاجل.
تفاصيل الثغرات الأمنية ومخاطر الاستغلال التقني
يرتبط التحديث الأخير بمجموعة من العيوب الأمنية التي كشفت عنها Cisco في مستشارها الأمني، والتي تتضمن خمس ثغرات تقنية تحمل المعرفات: (CVE-2026-20122 بتقييم CVSS عند 5.4)، و(CVE-2026-20126 بتقييم CVSS عند 8.8)، و(CVE-2026-20128 بتقييم CVSS عند 7.5)، و(CVE-2026-20129 بتقييم CVSS عند 9.8)، و(CVE-2026-20133 بتقييم CVSS عند 6.5).
تكمن خطورة هذه الثغرات في منح المهاجمين قدرة الوصول إلى الأنظمة المتأثرة، ورفع مستوى الصلاحيات وصولاً إلى مستوى الجذر الذي يمنح تحكماً كاملاً في نظام التشغيل، فضلاً عن إمكانية الاطلاع على معلومات حساسة وتعديل ملفات النظام الداخلية.
وقد أدرجت وكالة CISA ثلاثاً من هذه الثغرات رسمياً وهي: CVE-2026-20122، وCVE-2026-20128، وCVE-2026-20133، لتنضم إلى الثغرة (CVE-2026-20127 بتقييم CVSS عند 10) التي جرى التعامل معها سابقاً والمتعلقة بتجاوز المصادقة.
توضح البيانات التقنية الصادرة عن Cisco أن الثغرة CVE-2026-20122 تتيح الكتابة فوق ملفات عشوائية في النظام، بينما تبرز الثغرة CVE-2026-20133 كخلل يتسبب في كشف المعلومات، ويسمح لمهاجم غير موثق بالاطلاع على بيانات حساسة نتيجة ضعف القيود المفروضة على نظام الملفات.
وبحسب بيانات قاعدة البيانات الوطنية للثغرات الأمنية (NVD)، فإن الثغرة CVE-2026-20126 تمثل وسيلة لرفع الامتيازات، تتيح لمستخدم محلي بصلاحيات محدودة الوصول إلى مستوى الجذر، وذلك عبر استغلال آلية مصادقة غير كافية في واجهة برمجية التطبيقات (REST API).
استراتيجيات التصدي وتدابير الحماية المؤسسية
تأتي هذه التطورات في أعقاب تحذير مشترك صدر في فبراير 2026 حول استغلال عالمي واسع النطاق يستهدف أنظمة Cisco SD-WAN؛ حيث استخدمت الجهات التخريبية الثغرة CVE-2026-20127 لتحقيق التسلل الأولي، ثم اتبعتها بالثغرة (CVE-2022-20775 بتقييم CVSS عند 7.8) لرفع الامتيازات وضمان وجود دائم داخل الأنظمة.
وقد بادرت Cisco بإصدار تحديثات برمجية لمعالجة هذه العيوب، مؤكدة ضرورة انتباه المؤسسات إلى أن المنتج المتأثر Cisco Catalyst SD-WAN Manager هو ذاته الذي كان يُسمى سابقاً SD-WAN vManage. وبناءً على خطورة الموقف، حددت CISA مهلة 4 أيام فقط للجهات التابعة لها لإتمام المعالجة، نظراً لثبوت استغلال هذه الثغرات في هجمات فعلية.
تتضمن التوصيات التشغيلية للمؤسسات ضرورة تشديد إجراءات الوصول إلى واجهات الإدارة ومراقبة السجلات بدقة لرصد أي تحركات مشبوهة، مع تفادي كشف واجهات الإدارة على شبكة الإنترنت المفتوحة.
كما يجب إجراء عمليات بحث استباقي عن أي آثار للاختراق داخل بيئات SD-WAN لمنع إدخال عقد خبيثة أو التلاعب بإعدادات الشبكة. ويفرض هذا الوضع على مديري الأنظمة تدقيق الأصول التقنية ومقارنة الإصدارات الحالية بالتحديثات الأمنية الصادرة مؤخراً، لضمان سد الثغرات قبل وقوع أي استغلال جديد يستهدف نقاط التحكم المركزية في الشبكة.
