اختراق صيني يستهدف أنظمة تأمين البريد الإلكتروني في Cisco ويهدد آلاف المؤسسات حول العالم

كشفت شركة Cisco عن هجوم سيبراني خطير ينسب إلى مجموعة مدعومة من الحكومة الصينية تعرف باسم UAT-9686، استغلت فيه ثغرة اليوم صفر في برنامج AsyncOS الخاص بمنصاتها الأمنية للبريد الإلكتروني للسيطرة الكاملة على أنظمة البريد الإلكتروني الحساسة في آلاف المؤسسات عالمياً.

ووفقاً للبيان الأمني الصادر عن Cisco بتاريخ 17 ديسمبر 2025، فإن الثغرة التي تحمل رمز CVE-2025-20393 تمثل تهديداً بالغ الخطورة بتقييم 10.0 على مقياس CVSS، وتؤثر على جميع نسخ برنامج AsyncOS دون استثناء، سواء في الأجهزة المادية أو الافتراضية، عندما تكون ميزة Spam Quarantine مفعلة ومتاحة للوصول من الإنترنت، وهي ميزة غير مفعلة افتراضياً.

أدوات قرصنة متطورة تحاكي أساليب APT41 

أظهرت التحقيقات أن مجموعة UAT-9686 استخدمت حزمة من الأدوات المخصصة التي تضمن بقاءها داخل الأنظمة المخترقة لأطول فترة ممكنة دون كشف. تضمنت هذه الأدوات:

• AquaShell: منفذ خلفي خفيف مبني بلغة Python يستقبل أوامر غير موثقة عبر HTTP POST ويقوم بتنفيذها على مستوى الجذر.
• AquaPurge: أداة مخصصة لمسح السجلات لإخفاء آثار التسلل.
• ReverseSSH و Chisel: أدوات تستخدم لتجاوز الجدران النارية وبروتوكولات الحماية، وتعرف أيضاً باسم AquaTunnel.

تظهر هذه التكتيكات تقاطعاً واضحاً مع أنشطة مجموعات صينية أخرى مثل APT41 وUNC5174، وهو ما يعزز فرضية التنسيق أو تبادل الأدوات بين مجموعات مرتبطة بالدولة الصينية.

وبحسب Cisco، بدأ الهجوم فعلياً منذ أواخر نوفمبر 2025، وهي مدة كافية لمنح المهاجمين فترة طويلة للوصول غير المرصود إلى رسائل البريد الإلكتروني الحساسة لدى الضحايا.

إجراءات طارئة للحد من الضرر وتحذيرات من إمكانية استمرار الهجمات مستقبلاً

نظراً لعدم توفر تحديث أو تصحيح حتى الآن، توصي Cisco باتباع الإجراءات التالية فوراً:

• إعادة بناء الأجهزة المتأثرة بالكامل لتطهيرها من أدوات البقاء.
• مراجعة إعدادات Spam Quarantine والتأكد من عدم تعرضها للإنترنت.
• عزل الأجهزة خلف جدران نارية وإيقاف أي خدمات غير ضرورية.
• فصل شبكة البريد الإلكتروني عن واجهات الإدارة.
• تطبيق مصادقة قوية وتغيير كلمات المرور الافتراضية.
• مراقبة سجلات الويب لأي نشاط مشبوه.

وبينما لم تتأثر خدمات Cisco السحابية بهذا الهجوم، تبقى الأجهزة التقليدية عرضة للخطر الكامل.

وقد دفع هذا التطور الخطير وكالة CISA الأميركية إلى إدراج الثغرة ضمن قائمة الثغرات المستغلة فعلياً، وفرضت على الوكالات الاتحادية معالجة الخلل قبل 24 ديسمبر 2025.

وفي تطور موازٍ، رصدت شركة GreyNoise موجة هجمات مؤتمتة تستهدف بوابات VPN غير المحمية جيداً من Cisco وPalo Alto، شملت أكثر من عشرة آلاف عنوان IP من دول أبرزها الولايات المتحدة وباكستان والمكسيك.