أعلنت شركة سيسكو (Cisco) في الثاني والعشرين من يناير لعام 2026 إصدار حزمة من التحديثات الأمنية العاجلة، وذلك بهدف معالجة ثغرة أمنية من نوع “اليوم الصفري” (Zero-day) التي جرى رصد محاولات استغلالها فعلياً في هجمات سيبرانية.
تكمن خطورة هذه الثغرة في استهدافها المباشر لعدد من أبرز منتجات الاتصالات الموحدة الخاصة بالشركة، وعلى رأسها نظام إدارة الاتصالات الموحدة (Unified CM) ونسخة Webex Calling المخصصة. حصلت الثغرة المسجلة تحت المعرف (CVE-2026-20045) على درجة خطورة بلغت 8.2 وفق مقياس CVSS، حيث تسمح للمهاجمين بتنفيذ أوامر عن بعد دون الحاجة إلى امتلاك صلاحيات مسبقة عبر واجهة الإدارة المستندة إلى الويب، مع إمكانية تصعيد تلك الصلاحيات لتصل إلى مستوى الجذر بعد الحصول على وصول أولي بمستوى مستخدم عادي.
تفاصيل الثغرة التقنية والمنتجات المتأثرة بالتهديد
تعود الجذور التقنية لهذه الثغرة إلى خلل في عملية التحقق من المدخلات التي يرسلها المستخدم ضمن طلبات (HTTP) إلى واجهة الإدارة. يتمكن المهاجم من استغلال هذا القصور عبر إرسال سلسلة من الطلبات المصاغة بدقة وعناية لتجاوز القيود والوصول إلى صلاحيات مستخدم على نظام التشغيل الأساسي للجهاز، ومن ثم الانتقال لتصعيد الامتيازات إلى مستوى الجذر. يوضح هذا المسار التصاعدي في الصلاحيات سبب تصنيف Cisco للثغرة بأنها “حرجة”، متجاوزة بذلك الرقم التقييمي الذي قد يظنه البعض أقل من الحد الأقصى للخطورة.
تشمل قائمة المنتجات المتأثرة مجموعة واسعة من أدوات البنية التحتية للاتصالات، وهي نظام إدارة الاتصالات الموحدة (Unified CM)، ونظام إدارة الجلسات (SME)، وخدمة الرسائل الفورية والحضور (IM&P)، بالإضافة إلى نظام (Unity Connection) و(Webex Calling Dedicated Instance).
يزيد تنوع هذه المنتجات وانتشارها في بيئات العمل الكبرى من رقعة التهديد، ويستوجب تحركاً فورياً من فرق الأمن السيبراني لحماية هذه الأصول الحساسة.
استراتيجيات التحديث والجدول الزمني للتعافي التقني
تعتمد الحلول التي طرحتها Cisco بشكل مباشر على رقم الإصدار المستخدم في المؤسسة، حيث وفرت الشركة مزيجاً من الترقيات الكاملة أو حزم التصحيح البرمجية المعروفة بـ (COP) لبعض السلاسل المحددة. بالنسبة لمستخدمي الإصدار (12.5) من أنظمة Unified CM وUnity Connection، يتطلب الأمر ترحيلاً كاملاً إلى إصدار مصحح حديث. أما بالنسبة للإصدار (14)، فقد أتيحت النسخة (14SU5) كحل جذري، أو يمكن تطبيق ملف تصحيح مخصص كبديل مؤقت. وفيما يخص الإصدار الأحدث (15)، فإن النسخة المصححة (15SU4) ستكون متاحة في مارس 2026، وحتى ذلك الحين، يتعين على المؤسسات تطبيق ملفات التصحيح المخصصة التي وفرتها الشركة.
تؤكد Cisco في تقاريرها الفنية على غياب أي حلول بديلة يمكن أن تحل محل التحديث الفعلي، حيث تظل الأنظمة معرضة للخطر مهما كانت الإجراءات الاحترازية الجانبية ما لم يتم تثبيت التصحيحات البرمجية. كما تشدد الشركة على ضرورة المراجعة الدقيقة لملفات (README) المرفقة مع كل تحديث، نظراً لارتباط التصحيحات بدقة متناهية بإصدارات معينة، وأي خطأ في التطابق قد يؤدي إلى فشل عملية التأمين أو تعطل الخدمات.
تقييم المخاطر الميدانية والتحركات الدولية لمواجهة الاستغلال
تأخذ هذه الثغرة طابعاً استثنائياً نظراً لرصد فريق الاستجابة للحوادث الأمنية في Cisco لمحاولات استغلال فعلية في الواقع، وهو ما دفع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) لإدراج الثغرة فوراً ضمن كتالوج الثغرات المعروفة باستغلالها (KEV). وقد حددت الوكالة تاريخ 11 فبراير 2026 كأقصى موعد نهائي للجهات الحكومية والمدنية لتطبيق التحديثات اللازمة. ورغم عدم الكشف عن هوية الجهات المنفذة للهجمات أو نطاق الاختراقات حتى الآن، فإن البيانات تشير إلى وجود نحو 1300 مثيل مكشوف من نظام إدارة الاتصالات الموحدة على شبكة الإنترنت.
تتجاوز خطورة الموقف مجرد تنفيذ أوامر برمجية، إذ إن الوصول إلى صلاحيات الجذر يمنح المهاجم القدرة على تعطيل الخدمات الصوتية والمرئية بالكامل، أو التجسس على الاتصالات، أو حتى الانتقال عرضياً داخل الشبكة الداخلية للمؤسسة. ولذلك، تنصح الفرق التقنية بضرورة حصر الأصول فوراً وتطبيق التصحيحات بأولوية قصوى، مع تقييد الوصول إلى واجهات الإدارة عبر شبكات موثوقة (VPN) فقط، ومراقبة سجلات النظام بحثاً عن أي أنشطة غير اعتيادية قد تشير إلى محاولة اختراق ناجحة أو قائمة.
