أطلقت شركة SonicWall تحديثات أمنية طارئة لسد ثغرتين من نوع “يوم الصفر” (Zero-Day) في أجهزة الوصول المحمول الآمن Secure Mobile Access (SMA) 1000، وذلك بعد رصد استغلالهما الفعلي في هجمات سيبرانية موجهة ضد بيئات المؤسسات. واستجابة لهذه التهديدات، أدرجت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) هاتين الثغرتين ضمن كتالوج الثغرات الأمنية المستغلة، ملزمة الهيئات الفيدرالية بتطبيق الإصلاحات اللازمة أو إيقاف تشغيل الأجهزة المتأثرة في موعد أقصاه 17 يوليو 2026.
وتتوزع المخاطر التقنية المكتشفة بين ثغرتين؛ الأولى (CVE-2026-15409 بتقييم CVSS عند 10.0) وتتمثل في تزوير طلب من جانب الخادم (SSRF) عبر واجهة Work Place دون الحاجة إلى مصادقة، حيث تؤثر على الإصدارات البرمجية 12.4.3-03245 و12.4.3-03387 و12.4.3-03434، وكذلك الإصدارات 12.5.0-02283 و12.5.0-02624 و12.5.0-02800، في حين تؤمنها الإصدارات رقم 12.4.3-03453 فما فوق و12.5.0-02835 فما فوق.
أما الثغرة الثانية (CVE-2026-15410 بتقييم CVSS عند 7.2)، هي ثغرة حقن أوامر تؤدي إلى تنفيذ برمجيات عن بُعد (RCE) داخل وحدة التحكم الإدارية بعد إجراء المصادقة، وترتبط بنطاقات الإصدارات المتأثرة والمصححة ذاتها.
وتنحصر هذه التهديدات في طرازات محددة تشمل SMA6210 وSMA7210 والجهاز الافتراضي SMA8200v عبر كافة منصات المحاكاة الافتراضية، دون أن تمتد إلى سلسلة منتجات SMA 100 أو جدران الحماية الأخرى التي تنتجها الشركة. وتكمن الخطورة في إمكانية دمج الثغرتين معاً عبر سلسلة استغلال واحدة، تتيح للمهاجم الانتقال من حالة انعدام الصلاحيات إلى التحكم الكامل والظهور كمسؤول على الجهاز، وفقاً للتحليل التقني الذي قدمه Landon Rice، خبير استغلال الثغرات في مؤسسة VulnCheck.
وأظهرت الفحوصات التي أجراها فريق الاستجابة للحوادث في Rapid7 أن الهجمات الأولى المؤكدة بدأت في 22 يونيو 2026، مع مؤشرات قوية على أن الهدف المحوري للمخترقين يكمن في نشر برمجيات الفدية، برغم نجاح الفريق في إحباط محاولات تشفير البيانات أو تسريبها في الحالات التي تولى معالجتها. ورغم ترجيح وقوف جهة تهديد واحدة خلف العمليات نظراً لتداخل الأساليب والتقنيات المستخدمة، لم تُنسب الأنشطة رسمياً إلى أي مجموعة معروفة حتى الآن.
وأوضحت SonicWall أن سد الثغرات عبر التحديث البرمجي يعد خطوة أولية لا تغني عن ضرورة فحص المؤسسات أنظمتها بدقة لرصد أي مؤشرات اختراق (IoCs)، والتي تشمل تسجيل طلبات نحو المسارين /__api__/login و /__api__/logout في سجل extraweb_access.log مصحوبة برمز الحالة HTTP 200، أو رصد طلبات موجهة إلى /wsproxy ببيانات مضيف مشبوهة ورمز حالة 101. وتتضمن المؤشرات أيضاً وجود إدخالات تتعلق بـ “إزالة التصحيح العاجل” متضمنة مسارات تخطي الأدلة في سجل ctrl-service.log، أو ظهور هذين المسارين داخل ملف الإعدادات /var/lib/unit/conf.json دون وجود مبرر هيكلي مشروع. وفي حال ثبوت الاختراق، تحث الشركة على إعادة بناء الأنظمة الفعلية بالكامل أو إعادة نشر النسخ الافتراضية، مع فرض تغيير شامل لكلمات مرور المستخدمين والمسؤولين وإعادة ضبط رموز التحقق المسبق (TOTP).
ولدعم المشتركين، طورت الشركة نصاً برمجياً (Script) لتشغيله مباشرة في البيئات المتضررة عبر فرق الدعم الفني التي تتابع الحالات بشكل فردي. وأشار Bret Fitzgerald، المدير الأول للاتصالات العالمية في SonicWall، إلى أن سرعة الاستجابة والاحتواء كانت أولوية قصوى أثمرت عن بناء السكريبت خلال أيام معدودة من رصد المشكلة، لافتاً إلى أن سلسلة SMA1000 المتأثرة تمثل شريحة محدودة لا تتجاوز 5,000 وحدة من بين نحو مليون مستشعر أمني تديره الشركة عالمياً.
ويأتي هذا الحدث الأمني امتداداً لسلسلة من استهدافات منتجات SonicWall، حيث أدرجت وكالة CISA قرابة 17 عيباً أمنياً في منتجات الشركة ضمن كتالوج الثغرات المستغلة منذ أواخر عام 2021، وُظفت عشرة منها في حملات لابتزاز الفدية أبرزها هجمات عصابة Akira التي استهدفت 40 مؤسسة في صيف 2025، وهو العام نفسه الذي شهد اختراقاً تقنياً لبيئة الشركة السحابية من جهة مدعومة من دولة، أدى حينها إلى تسريب إعدادات جدران الحماية الخاصة بكافة العملاء.
ومع غياب أي حلول بديلة أو إجراءات تخفيف مؤقتة، يبقى خيار الترقية الفورية وفحص السجلات الممر الوحيد لتأمين الشبكات. ويلخص Ben Harris، الرئيس التنفيذي لشركة watchTowr، هذا المشهد الأمني مؤكداً أنه عندما تبدأ عمليات الاستغلال الفعلي قبل صدور الترقيعات، فإن التعامل مع النظام بناء على فرضية الاختراق المسبق يظل الحد الأدنى المطلوب لضمان الأمان، حتى بعد إتمام التحديث.







