شهد الأمن السيبراني خلال شهر مارس 2026 تحولاً نوعياً في سرعة وشمولية الهجمات التقنية؛ حيث وثقت التقارير الحديثة استغلالاً فعلياً لـ 31 ثغرة أمنية عالية التأثير، طالت أنظمة تتبع أكثر من 20 مورداً عالمياً. وتصدرت شركات كبرى مثل Cisco وMicrosoft وGoogle وApple وCitrix وConnectWise وLangflow قائمة الجهات المتأثرة، بينما صُنفت 29 من هذه الثغرات ضمن فئة “شديدة الخطورة” وفقاً لتقييم Recorded Future. وقد استحوذت منتجات شركتي Microsoft وApple وحدهما على نحو 32% من إجمالي الإصابات المسجلة، ما يضع ضغوطاً مضاعفة على فرق الحماية لتأمين البيئات الرقمية ضد تهديدات متزايدة التعقيد.
وتشير البيانات التحليلية إلى تقلص الفارق الزمني المتاح للدفاع بشكل حاد؛ إذ جرى استغلال جميع الثغرات المرصودة فور اكتشافها تقريباً، دون وجود مهلة زمنية فاصلة. كما توفرت شيفرات استغلال علنية لعشر ثغرات بالتزامن مع لحظة كشفها، وقام باحثون من Insikt Group بإعداد قوالب Nuclei، وهي أداة برمجية لمسح الثغرات وتحديد نقاط الضعف آلياً، لثغرتين في أنظمة MindsDB وNginx UI لتعزيز سرعة اختبار التعرض داخل الشبكات.
وتركزت أنماط الهجوم بشكل أساسي حول “تنفيذ تعليمات برمجية عن بُعد” (RCE) في تسع ثغرات؛ وشمل ذلك تطبيقات متنوعة مثل Craft CMS وLaravel وSolarWinds وn8n.
اختراق Cisco Secure Firewall وتداعيات حملات برمجيات الفدية
ارتبطت الثغرة (CVE-2026-20131 بتقييم CVSS عند 10) في منصة Cisco Secure Firewall Management Center (FMC) بنشاط تخريبي واسع نفذته مجموعة الفدية “Interlock”. وتكمن الأهمية الاستراتيجية لهذه المنصة في كونها الأداة المركزية لإدارة سياسات الجدران النارية والتحكم في الإعدادات الأمنية للمؤسسات؛ لذا فإن اختراقها يمنح المهاجمين سلطة واسعة ومباشرة داخل العمق الشبكي للمؤسسة.
ويعود أصل الخلل التقني إلى معالجة غير آمنة لبيانات Java في واجهة الإدارة القائمة على الويب؛ حيث يسمح هذا القصور لمهاجم عن بُعد بتنفيذ أوامر بصلاحيات الجذر (Root) عبر إرسال كائنات Java ملوثة.
وتبرز الخطورة الحقيقية في البعد الزمني لهذا الهجوم؛ إذ كشفت تحقيقات Amazon Threat Intelligence أن مجموعة “Interlock” شرعت في استغلال الثغرة فعلياً في 26 يناير 2026، وهو موعد يسبق إعلان شركة Cisco الرسمي ونشرها للتصحيح الأمني بـ 36 يوماً.
تسبب هذا الفارق الزمني في بقاء المؤسسات مكشوفة تماماً أمام المهاجمين لفترة طويلة دون امتلاك أي وسائل تقنية للمعالجة أو مؤشرات واضحة للاختراق. وقد سارعت AWS بمشاركة نتائج تحقيقاتها مع Cisco فور توثيق هذا النشاط الاستباقي، مع التأكيد على ضرورة تطبيق التحديثات البرمجية فوراً، نظراً لعدم وجود حلول تخفيف بديلة يمكنها حماية الأنظمة المتأثرة.
التحليل التقني لآليات التسلل والحركة الجانبية داخل الشبكات
أظهر التحقيق التقني الذي أجرته AWS تفاصيل دقيقة حول آلية تنفيذ الهجوم؛ حيث رُصدت طلبات HTTP موجهة لمسارات داخلية في النظام بهدف تشغيل تعليمات Java البرمجية. واستخدم المهاجمون روابط خارجية لتزويدهم ببيانات إعداد تدعم عملية الاستغلال، مع إجبار النظام على إرسال ملفات محددة للتحقق من نجاح عملية النفاذ. وعثر المحققون على خادم ضعيف الحماية يتبع المهاجمين، ويحتوي على ترسانة متكاملة من أدوات الوصول عن بُعد، ونصوص برمجية للاستطلاع، وتقنيات متطورة للإخفاء. وعقب تثبيت موطئ قدم في منصة FMC، استخدمت المجموعة أدوات مكتوبة بلغات Java وJavaScript للبقاء داخل الذاكرة وتجنب الرصد التقليدي.
وانتقلت العمليات التخريبية لاحقاً إلى مرحلة “الحركة الجانبية”؛ وهي محاولة التنقل بين أجهزة الشبكة المختلفة لجمع البيانات ورفع الامتيازات، باستخدام أدوات شرعية مثل ConnectWise ScreenConnect وVolatility لسرقة بيانات الاعتماد. وانتهت هذه الهجمات في حالات متعددة بنشر برمجيات فدية مشفرة للبيانات؛ وهو تطور خطير بالنظر إلى أن نقطة الدخول كانت منصة أمنية يُفترض بها حماية المؤسسة.
واستجابةً لهذه المعطيات، أدرجت وكالة CISA الأمريكية هذه الثغرة ضمن كتالوج الثغرات المعروفة المستغلة فعلياً (KEV)، وطالبت الجهات الفيدرالية بمعالجتها بصفة عاجلة. كما شددت الوكالة على ضرورة الانتباه للثغرات القديمة أيضاً، مثل ثغرة كاميرات Hikvision التي لا تزال تُستغل بنشاط رغم مرور سنوات على اكتشافها، مما يبرز أهمية التحديث الدوري لكافة مكونات البنية التحتية الرقمية.
