أطلقت شركة Cisco حزمة تحديثات أمنية موسعة لمعالجة 12 ثغرة أمنية تم رصدها في نظامي التشغيل IOS وIOS XE. وتتوزع هذه الثغرات من حيث درجة التأثير بين 6 حالات ذات خطورة عالية، و6 حالات أخرى صُنفت ضمن فئة الخطورة المتوسطة.
وتتركز المخاطر المكتشفة في قدرتها التقنية على إحداث حالة تعطيل للخدمة، أو تجاوز آليات الإقلاع الآمن في الأجهزة المستهدفة. كما تشمل التهديدات إمكانية كشف معلومات حساسة، أو رفع صلاحيات الوصول غير المشروع على مجموعة من الأجهزة المتأثرة بهذه الثغرات.
تفاصيل الثغرات التشغيلية ومخاطر الأنظمة
ترتبط أغلب الثغرات المكتشفة بخلل تقني يؤدي إلى توقف الأنظمة عن العمل أو استنزاف مواردها الحيوية بشكل كامل. وتضم حزمة التحديثات معالجات لعيوب برمجية عالية الخطورة في مكونات أساسية، منها خاصية DHCP Snooping المسؤولة عن أمن عناوين الشبكة في محولات Catalyst 9000، ووحدة CAPWAP المعنية بإدارة نقاط الوصول في متحكمات Catalyst CW9800 اللاسلكية.
كما شملت المعالجات ثغرة في ميزة IKEv2 المستخدمة لتأمين الاتصالات المشفرة، وأخرى في خادم HTTP ضمن إصدارات محددة من نظام IOS XE Release 3E. بالإضافة إلى ذلك، تم رصد خلل في بروتوكول TLS المسؤول عن تشفير البيانات عبر الإنترنت، والذي قد يتسبب في استهلاك كامل لذاكرة الجهاز المتأثر.
وتبرز الثغرة ذات الرمز CVE-2026-20104 كأحد أخطر التهديدات في هذه المجموعة، حيث تمنح المهاجم القدرة على تنفيذ شيفرات برمجية أثناء مرحلة بدء تشغيل الجهاز. وتؤدي هذه العملية إلى كسر سلسلة الثقة في أجهزة مختارة من سلاسل Catalyst وRugged Series، ما يهدد سلامة النظام.
سيناريوهات الاستغلال المركب في أجهزة Catalyst
كشفت التقارير الفنية عن تفاصيل 4 ثغرات تحمل الرموز CVE-2026-20110 وCVE-2026-20112 وCVE-2026-20113 وCVE-2026-20114، وتؤثر هذه المجموعة بشكل مباشر في محولات Cisco Catalyst 9300 Series. وتتيح الثغرة الأخيرة لمهاجم يمتلك حساباً بصلاحيات منخفضة إمكانية رفع امتيازاته داخل واجهة Lobby Ambassador.
ويمكن للمهاجم عقب ذلك استغلال الثغرة CVE-2026-20110 لتفعيل أمر البرمجة start maintenance عبر واجهة الإدارة النصية، وهو إجراء يؤدي إلى إدخال الجهاز في وضع الصيانة القسري وتعطيل واجهاته الشبكية، لينتهي بتوقف الخدمة عن العمل بصورة تامة.
وقد صنفت Cisco عملية رفع الصلاحيات كخطر متوسط، موضحة أن استعادة الحالة التشغيلية للجهاز تتطلب تنفيذ أمر stop maintenance عبر سطر الأوامر (CLI) عند توفر وصول إداري مباشر.
كما تتضمن الحزمة معالجة للثغرة CVE-2026-20112 التي تسمح بهجمات حقن النصوص البرمجية الخبيثة المخزنة داخل بيئة Cisco IOx Application Hosting Environment المخصصة لتشغيل التطبيقات فوق الأجهزة الشبكية، بالإضافة إلى معالجة ثغرة حقن سجلات النظام المعروفة بهجوم CRLF Injection والموثقة تحت الرمز CVE-2026-20113.
تقييم الاستجابة الأمنية وإجراءات المعالجة
أعلنت شركة OPSWAT مسؤوليتها عن اكتشاف هذه السلسلة من الثغرات وإبلاغ Cisco بها، حيث نشرت وصفاً تقنياً يوضح كيفية الجمع بين رفع الصلاحيات وتعطيل الخدمة في هجوم واحد. وبينت الاختبارات الميدانية أن بعض حالات التعطيل استوجبت تدخلاً في موقع الجهاز لإعادة تشغيله يدوياً لضمان عودته للعمل.
من جانبها، أكدت شركة Cisco توفر كافة التحديثات اللازمة لسد هذه الثغرات ضمن حزمة مارس 2026، مشيرة إلى أن التقارير المتاحة لم ترصد أي عمليات استغلال فعلي لهذه الثغرات في هجمات سيبرانية حتى لحظة صدور البيان.
