عندما يصبح جدار الحماية نقطة الدخول
في 4 مارس 2026، نشرت Cisco تحذيرًا أمنيًا طارئًا بشأن CVE-2026-20131، وهي ثغرة حرجة في إلغاء التسلسل غير الآمن في برنامج Secure Firewall Management Center (FMC). حصلت الثغرة على أعلى درجة CVSS وهي 10.0: يمكن لمهاجم غير مصادق عليه تنفيذ كود Java عشوائي بصلاحيات root على جهاز FMC من خلال إرسال طلب HTTP واحد مصمم خصيصًا إلى واجهة الإدارة عبر الويب.
جاء التحذير متأخرًا بأسابيع. كشفت أبحاث فريق Amazon threat intelligence، التي أُجريت باستخدام شبكة MadPot العالمية لمصائد الاختراق، أن مجموعة برنامج الفدية Interlock كانت تستغل CVE-2026-20131 كثغرة صفرية منذ 26 يناير 2026 — نافذة مدتها 36 يومًا لم يكن فيها أي تصحيح متاح وكان معظم المدافعين يجهلون وجود الثغرة.
أضافت CISA ثغرة CVE-2026-20131 إلى كتالوج الثغرات المستغلة المعروفة (KEV) في 19 مارس، مُلزمةً جميع الوكالات الفيدرالية الأمريكية بتطبيق التصحيح قبل 9 أبريل 2026.
تشريح CVE-2026-20131: إلغاء التسلسل على مستوى Root
تكمن الثغرة في واجهة الإدارة عبر الويب الخاصة بـ Cisco FMC. تعالج المنصة كائنات Java المُسَلسَلة المستلمة عبر واجهة برمجة التطبيقات (API) للإدارة عبر HTTP. توجد CVE-2026-20131 لأن FMC يفك تسلسل تدفقات بايت Java المقدمة من المستخدم دون التحقق الكافي، مما يسمح للمهاجم بحقن كائن مُسَلسَل ضار يؤدي إلى تنفيذ كود عشوائي.
تقيّم Cisco الثغرة بدرجة 10.0 على مقياس CVSS 3.1 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). كل مقياس في أسوأ حالاته: قابلة للاستغلال عبر الشبكة، تعقيد منخفض، لا تتطلب مصادقة، لا تتطلب تفاعل المستخدم، والتأثير يمتد إلى ما وراء FMC نفسه ليشمل جميع أجهزة جدار الحماية المُدارة.
تصنيف “Scope: Changed” حاسم. يعد Cisco FMC المنصة المركزية لإدارة أجهزة Firepower Threat Defense (FTD). يخزن سياسات جدار الحماية وخرائط طوبولوجيا الشبكة وسجلات الأحداث الأمنية ومخازن بيانات الاعتماد لتكامل Active Directory وتكوينات VPN. يمنح الوصول بصلاحيات root إلى FMC للمهاجم خريطة شاملة للشبكة المستهدفة والقدرة على تعديل قواعد جدار الحماية — وهو ما يعادل تسليمه مفاتيح البنية التحتية التي نُشر الجهاز لحمايتها.
أكدت Cisco عدم وجود أي حلول بديلة. العلاج الوحيد هو تطبيق التصحيح. يقلل تقييد الوصول إلى واجهة FMC عبر الويب إلى شبكات إدارة موثوقة من سطح الهجوم لكنه لا يزيل الثغرة. تشمل الإصدارات المتأثرة 6.4.0 و7.0.x حتى 7.7.x و10.0.0.
Interlock: مجموعة برنامج الفدية وراء الحملة
ظهرت Interlock لأول مرة في سبتمبر 2024 ومنذ ذلك الحين ادعت مسؤوليتها عن أكثر من 60 ضحية في أمريكا الشمالية وأوروبا. على عكس معظم مشغلي برامج الفدية، لا تدير Interlock برنامج ransomware-as-a-service (RaaS) — بل تعمل بشكل مستقل، وتطور أدوات التشفير الخاصة بها لنظامي Windows وLinux، وتحتفظ بموقع تسريب خاص يُسمى “Worldwide Secrets Blog” للضغط على الضحايا من خلال الابتزاز المزدوج.
أظهرت المجموعة نمطًا ثابتًا في استهداف القطاعات التي يؤدي فيها التعطيل التشغيلي إلى دفع الفدية. كان قطاع الرعاية الصحية هدفًا متكررًا: في عام 2025، كانت Interlock مسؤولة عن اختراق DaVita في أبريل (تعريض بيانات 2.7 مليون فرد للخطر من مزود غسيل الكلى) وهجوم Kettering Health في مايو (تعطيل 14 مستشفى وأكثر من 120 منشأة للعيادات الخارجية في Ohio، مع رفع عشرات الدعاوى القضائية بسبب تأخر الرعاية الصحية). كما استهدفت المجموعة نظام Texas Tech University ومدينة Saint Paul في Minnesota.
تطورت أساليب الوصول الأولي لـ Interlock عبر ثلاث مراحل موثقة. استخدمت الحملات الأولى التنزيلات الخفية من مواقع شرعية مخترقة. بحلول فبراير 2025، أضافت المجموعة هندسة ClickFix الاجتماعية — منتحلة صفة برامج الاتصال عن بُعد مثل FortiClient VPN وCisco AnyConnect. في يوليو 2025، أصدرت CISA والـ FBI تحذيرًا مشتركًا #StopRansomware ينبه إلى أن Interlock قد طورت برمجياتها الخبيثة، بما في ذلك حصان طروادة مخصص للوصول عن بُعد يُدعى NodeSnake، ومؤخرًا سلالة برمجيات خبيثة مُولَّدة بالذكاء الاصطناعي تُسمى Slopoly.
يمثل استغلال CVE-2026-20131 تصعيدًا كبيرًا في القدرات. استخدام ثغرة صفرية في منصة إدارة جدار الحماية الرئيسية لمورد أمني كبير يضع Interlock في مستوى أعلى من المجموعات التي تعتمد على الثغرات المعروفة ووسطاء الوصول التقليديين.
إعلان
كيف تكشّفت الهجمات
جمعت فرق Amazon threat intelligence تفاصيل الحملة بعد إفصاح Cisco في 4 مارس. باستخدام MadPot — شبكة Amazon العالمية من خوادم مصائد الاختراق — حدد الباحثون نشاط استغلال يعود إلى 26 يناير 2026. أدى خطأ في أمن العمليات من جانب مشغلي Interlock — خادم بنية تحتية خاطئ التكوين — إلى كشف مجموعة أدوات الهجوم الكاملة للمجموعة.
تعمل سلسلة الهجوم المرصودة على النحو التالي:
- الاستغلال الأولي: تُرسل طلبات HTTP تحتوي على كائنات Java مُسَلسَلة ضارة إلى واجهة إدارة FMC عبر الويب. عند نجاح الاستغلال، ينفذ FMC المخترق طلب HTTP PUT إلى خادم يتحكم فيه المهاجم، مؤكدًا الاختراق.
- تسليم الحمولة: تأمر الأوامر FMC المخترق بتنزيل ملف ELF ثنائي من خادم بعيد يستضيف أدوات Interlock الإضافية.
- تعداد الشبكة: تقوم نصوص PowerShell برسم خريطة منهجية لبيئة Windows الخاصة بالضحية — جمع تفاصيل نظام التشغيل ومعلومات العتاد والخدمات النشطة والبرامج المثبتة وتكوين التخزين وبيانات المتصفح عبر أجهزة متعددة.
- الوصول المستمر: تحافظ أحصنة طروادة مخصصة للوصول عن بُعد مكتوبة بلغتي JavaScript وJava على اتصال C2، مما يتيح تنفيذ الأوامر ونقل الملفات واستخراج البيانات المشفرة.
- التهرب: يحول سكريبت Bash الخوادم Linux المخترقة إلى وكلاء عكسيين HTTP يعيدون توجيه حركة المرور إلى أنظمة يتحكم فيها المهاجم مع مسح السجلات كل خمس دقائق، مما يجعل التحليل الجنائي الرقمي صعبًا للغاية.
- نشر برنامج الفدية: بعد استخراج البيانات، تنشر Interlock أدوات التشفير المخصصة عبر بيئة الضحية، مضيفةً الامتداد `.interlock` إلى الملفات المشفرة وتاركةً مذكرات فدية توجه الضحايا إلى بوابة تفاوض عبر Tor.
أكدت Amazon أن بنية AWS التحتية وأعباء عمل العملاء لم تكن متورطة في الحملة.
المشكلة الهيكلية: أجهزة الأمان كسطح هجوم
تنتمي CVE-2026-20131 إلى فئة متنامية من الثغرات التي تقوض نموذج الأمان المحيطي التقليدي: العيوب الحرجة في أجهزة الأمان نفسها. تقع جدران الحماية وبوابات VPN ومنصات الإدارة على حدود الشبكة، وتعالج مدخلات غير موثوقة، وعند اختراقها — توفر للمهاجمين نقطة مراقبة مميزة مع إمكانية الوصول إلى سياسات الأمان وسجلات الأحداث وبيانات الاعتماد المخزنة.
كان النمط ثابتًا على مدار السنوات الثلاث الماضية. عانى Ivanti Connect Secure من ثغرات صفرية متعددة استغلها فاعلون مدعومون من دول في 2024 و2025. صححت Palo Alto Networks ثغرة CVE-2024-3400، وهي حقن أوامر في GlobalProtect استُغلت كثغرة صفرية. عالجت Fortinet ثغرات حرجة متعددة لتجاوز المصادقة بين 2023 و2025. واستُغلت CVE-2023-4966 في Citrix NetScaler (“Citrix Bleed”) على نطاق واسع من قبل مجموعات برامج الفدية.
تستمر مشكلة كشف واجهات الإدارة بسبب الراحة التشغيلية (رغبة المسؤولين في الوصول عن بُعد)، والهجرة السحابية (وضع واجهات الإدارة في شرائح يمكن الوصول إليها من السحابة)، والاعتماد على VPN (إذا تم اختراق VPN، فإن واجهة الإدارة خلفه مكشوفة أيضًا).
بالنسبة لمؤسسات الرعاية الصحية، تتفاقم المشكلة بسبب نقص كوادر فرق تقنية المعلومات، والبيئات السريرية المعقدة التي تمزج بين الأنظمة الحديثة والقديمة، والتكلفة المرتفعة لنوافذ الصيانة التي قد تعطل رعاية المرضى. أثبتت Interlock مرارًا استعدادها لاستغلال هذا الوضع.
الاستجابة لـ CVE-2026-20131
يجب على المؤسسات التي تستخدم Cisco FMC التعامل مع هذا الأمر كحالة طوارئ:
- تطبيق التصحيح فورًا. ثبّت تحديث 4 مارس 2026. لا توجد حلول بديلة.
- تقييد وصول الإدارة. انقل واجهة FMC عبر الويب إلى شبكة VLAN إدارية مخصصة لا يمكن الوصول إليها إلا من محطات عمل المسؤولين المعتمدة.
- إجراء فرز جنائي رقمي. راجع سجلات FMC من 26 يناير حتى 4 مارس بحثًا عن طلبات HTTP POST غير عادية وتنفيذ عمليات غير متوقعة وتغييرات غير مصرح بها في سياسات جدار الحماية.
- تدقيق Active Directory. ابحث عن حسابات إدارية جديدة وتغييرات في عضوية المجموعات وشذوذات تذاكر Kerberos واتصالات RDP غير متوقعة.
- التحقق من سلامة النسخ الاحتياطية. تستهدف Interlock تحديدًا البنية التحتية للنسخ الاحتياطي. تأكد من أن نسخك الاحتياطية سليمة وقابلة للاسترداد.
- نشر مراقبة السلامة. يمكن لمراقبة سلامة الملفات (FIM) على أجهزة FMC اكتشاف التغييرات غير المصرح بها في نظام الملفات التي تشير إلى نشاط ما بعد الاستغلال.
الأسئلة الشائعة
ما الذي يجعل CVE-2026-20131 خطيرة للغاية مقارنة بثغرات جدران الحماية النموذجية؟
تتضافر ثلاثة عوامل لجعل هذه الثغرة شديدة الخطورة بشكل استثنائي. أولًا، لا تتطلب الثغرة أي مصادقة ويمكن استغلالها عن بُعد بطلب HTTP واحد. ثانيًا، يمنح الاستغلال الناجح صلاحيات root — ليس على خادم عادي بل على المنصة المركزية للإدارة التي تتحكم في كامل نشر جدران حماية Cisco للمؤسسة، بما في ذلك بيانات الاعتماد المخزنة وخرائط طوبولوجيا الشبكة. ثالثًا، نافذة استغلال الثغرة الصفرية البالغة 36 يومًا تعني أن المؤسسات لم تستطع الدفاع ضد هجمات لم تكن تعلم بوجودها.
كيف اكتشفت Amazon حملة Interlock التي تستغل هذه الثغرة؟
بعد إفصاح Cisco في 4 مارس 2026، بدأ فريق Amazon threat intelligence التحقيق باستخدام MadPot، شبكته العالمية من خوادم مصائد الاختراق المصممة لجذب ومراقبة النشاط الإجرامي السيبراني. أدى خطأ في أمن العمليات من جانب مشغلي Interlock — خادم بنية تحتية خاطئ التكوين — إلى كشف مجموعة الأدوات الكاملة للمجموعة، بما في ذلك سلسلة الهجوم متعددة المراحل وأحصنة طروادة الوصول عن بُعد المخصصة ونصوص استطلاع الشبكة وتقنيات التهرب بمسح السجلات. مكّن هذا Amazon من تتبع نشاط الاستغلال إلى 26 يناير 2026.
هل ترتبط هذه الثغرة بهجمات Interlock السابقة على المستشفيات مثل DaVita وKettering Health؟
كان اختراق DaVita (أبريل 2025) وهجوم Kettering Health (مايو 2025) حملات Interlock سابقة استخدمت أساليب وصول أولي مختلفة، وليس CVE-2026-20131. ومع ذلك، يُظهران نمطًا ثابتًا: تستهدف Interlock عمدًا مؤسسات الرعاية الصحية لأن التعطيل التشغيلي لرعاية المرضى يخلق أقصى ضغط لدفع الفدية. تمثل حملة CVE-2026-20131 تصعيدًا في القدرات — من الهندسة الاجتماعية والثغرات المعروفة إلى استغلال ثغرات صفرية في البنية التحتية الأمنية للمؤسسات.
المصادر والقراءات الإضافية
- Interlock Ransomware Exploits Cisco FMC Zero-Day CVE-2026-20131 for Root Access — The Hacker News
- Ransomware Gang Exploits Cisco Flaw in Zero-Day Attacks Since January — BleepingComputer
- Amazon Threat Intelligence: Interlock Ransomware Campaign Targeting Enterprise Firewalls — AWS Security Blog
- Cisco Firewall Vulnerability Exploited as Zero-Day in Interlock Ransomware Attacks — SecurityWeek
- CISA Adds CVE-2026-20131 to Known Exploited Vulnerabilities Catalog — CISA
- Cisco FMC Flaw Was Exploited by Interlock Weeks Before Patch — Help Net Security
🔗 مقالات ذات صلة
ثغرة Cisco SD-WAN Zero-Day: كيف اختبأ UAT-8616 لمدة ثلاث سنوات
ست ثغرات يوم الصفر تحت هجوم نشط: داخل أخطر يوم تحديث ثلاثاء في فبراير 2026
أمن المصادر المفتوحة: هجمات سلسلة التوريد وأزمة أمن البرمجيات مفتوحة المصدر
مهاجمة العمود الفقري للإنترنت: اختطاف DNS وهجمات BGP والتهديدات على مستوى البنية التحتية
