كشفت نتائج حديثة نشرتها شركة Mandiant، التابعة لـ Google Cloud، عن نجاح مهاجم مجهول في استغلال ثغرة أمنية عالية الخطورة (CVE-2026-20245 بتقييم CVSS عند 7.8) في منصة Cisco Catalyst SD-WAN كثغرة “يوم صفر” (Zero-Day)، وذلك قبل شهرين كاملين من إعلان شركة Cisco عنها رسمياً وتوفير التحديثات الأمنية اللازمة لها. واستهدف الهجوم مزود خدمات اتصالات بهدف تصعيد صلاحيات حساب مدير مخترق إلى مستوى صلاحيات الجذر الكاملة (Root)، مع الاعتماد على تقنيات متقدمة لمكافحة التحقيق الجنائي الرقمي لإخفاء آثار النشاط التخريبي وتجنب الرصد.
تنطوي الثغرة على خلل في التحقق من المدخلات التي يقدمها المستخدم للنظام المتأثر. وتتيح لمهاجم محلي مصادق تنفيذ أوامر عشوائية بصلاحيات مرتفعة عبر تمرير ملف معد خصيصاً إلى النظام، إلا أن شركة Cisco أكدت أن نجاح الاستغلال يتطلب امتلاك المهاجم مسبقاً لصلاحيات مسؤول شبكات (netadmin). وقد استغل المهاجم هذا الخلل برفع ملف CSV خبيث يحمل الاسم evil_tenant.csv، ما مكنه من تصعيد صلاحياته وإنشاء حساب غير مشروع باسم troot يتمتع بتحكم كامل عبر واجهة الأوامر بصلاحيات الجذر.
ورصد محققو Mandiant موجتين منفصلتين من النشاط غير المصرح به داخل بيئة الجهة المستهدفة، حيث وقعت الموجة الأولى بين أواخر عام 2025 ويناير 2026، وحصلت خلالها اتصالات اقتران غير مصرح بها. ويرجح أن المهاجم استغل في هذه المرحلة إحدى ثغرتي تجاوز المصادقة CVE-2026-20127 أو CVE-2026-20182 اللتين كانتا غير معلنتين وتستغلان كثغرات يوم صفر آنذاك للحصول على الوصول الأولي.
أما الموجة الثانية فقد حدثت في مارس 2026، واستهدفت جهازاً يعمل بإصدار برمجي أحدث جرى تصحيحه ضد الثغرة الأولى، ونظراً لأن Cisco أكدت عدم استغلال الثغرة الثانية في هذه الموجة، يرجح المحققون أن المهاجم استخدم شهادات رقمية مسروقة من اختراق سابق للجهاز ذاته للحصول على موطئ قدم جديد، ومن ثم قام بتغيير بيانات اعتماد المدير الافتراضية وتنفيذ ثغرة تصعيد الصلاحيات.
وأبدى المهاجم حرصاً متقدماً على طمس الأدلة للحد من قدرة المدافعين على تحديد النطاق الكامل للاختراق؛ فبعد تعديل كلمة مرور المدير الافتراضية وتصدير إعدادات بنية الشبكة (SD-WAN Fabric)، أعاد كلمة المرور إلى قيمتها الأصلية لتفادي إثارة الشبهات عند تسجيل دخول المسؤولين الشرعيين. كما أنشأ حساب troot الخبيث بطريقة مخفية داخل مساري etc/passwd و etc/shadow الأساسيين، وحذف ملفات إعدادات النظام التي عدلها مع استعادة الإعدادات الأصلية انتقائياً، بالإضافة إلى تشغيل برمجيات نصية مخصصة للتحقق من اختفاء ومحو كافة مؤشرات الاختراق من السجلات.
ويرى أوستن لارسن، كبير محللي التهديدات في Google Threat Intelligence، أن هذا النشاط يجسد توجهاً مستمراً للمجموعات التخريبية المتقدمة نحو استهداف الأجهزة الطرفية، مثل منصات SD-WAN، نظراً لأن السيطرة عليها تمنح المهاجمين رؤية مستمرة لحركة المرور الداخلية عبر الشبكة.
ومن جانبه، أشار تشارلز كارماكال، الرئيس التنفيذي للتقنية في Mandiant Consulting، إلى أن الخصوم المتقدمين يواصلون تركيز هجماتهم على أجهزة الشبكات والأنظمة التي لا تدعم حلول الكشف والاستجابة لنقاط النهاية (EDR) بصورة اساسية، مستغلين هذا القصور الأمني بنجاح لاتخاذها نقاط ارتكاز للتمركز والتخفي طويل الأمد داخل البيئات الحساسة.
