ثغرة Cisco FMC الصفرية: كيف استغل برنامج الفدية Interlock جدران الحماية لمدة 36 يومًا

نُشر في مارس 25, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

مستوى التهديد: CVSS 10.0 (الحد الأقصى)
نافذة الثغرة الصفرية: 36 يومًا (26 يناير – 4 مارس)
الجهة المهاجمة: برنامج الفدية Interlock
الموعد النهائي CISA: 9 أبريل 2026

🧭 رادار القرار (المنظور الجزائري)

الصلة بالجزائر
عالية — البنية التحتية لجدران الحماية من Cisco (ASA وFTD وFMC) منتشرة على نطاق واسع في المؤسسات الجزائرية والوكالات الحكومية والبنوك ومرافق الرعاية الصحية. أي مؤسسة تستخدم Cisco FMC متأثرة مباشرة بثغرة CVE-2026-20131.
▾

لهذا التطور تأثيرات مباشرة وجوهرية على المنظومة التكنولوجية والاقتصادية في الجزائر.

البنية التحتية جاهزة؟
جزئيًا — تمتلك المؤسسات الجزائرية كوادر مدربة على Cisco، لكن مراكز العمليات الأمنية المخصصة القادرة على إجراء تحليل جنائي رقمي لمنصات إدارة جدران الحماية تبقى نادرة خارج أكبر المؤسسات والوكالات الحكومية. تفتقر معظم المؤسسات متوسطة الحجم إلى أدوات التحليل الجنائي الخاصة بـ FMC.
▾

توجد فجوات كبيرة في البنية التحتية.

المهارات متوفرة؟
جزئيًا — يوجد مهندسون معتمدون من Cisco في الجزائر، لكن مهارات الاستجابة للحوادث المحددة المطلوبة هنا (تحليل استغلال إلغاء التسلسل في Java، التحليل الجنائي لنظام Linux على أجهزة Cisco، كشف اختراق Active Directory) متخصصة ومحدودة بعدد صغير من محترفي الأمن المتقدمين.
▾

توجد فجوات مهارية كبيرة.

الجدول الزمني للتحرك
فوري
▾

يجب على أي مؤسسة تستخدم Cisco FMC تطبيق التصحيح الآن. فرضت CISA التصحيح الفيدرالي قبل 9 أبريل 2026. نافذة الاستغلال البالغة 36 يومًا قبل الإفصاح تعني أن الاختراق قد يكون قد حدث بالفعل دون اكتشافه.

أصحاب المصلحة الرئيسيون
فرق أمن الشبكات، مسؤولو أمن المعلومات (CISO)، أقسام تقنية المعلومات في المستشفيات، مديرو البنية التحتية لتقنية المعلومات الحكومية، فرق أمن القطاع المصرفي، مزودو خدمات الأمن المُدارة (MSSP) العاملون في الجزائر

نوع القرار
تكتيكي (تطبيق التصحيح الطارئ والفرز الجنائي الرقمي) مع استراتيجي (إعادة تقييم طويلة الأمد لممارسات إدارة أجهزة الأمان وعزل مستوى الإدارة)
▾

يوفر هذا المقال توجيهات استراتيجية للتخطيط طويل المدى وتخصيص الموارد.

خلاصة سريعة: يجب على المؤسسات الجزائرية التي تستخدم Cisco Firepower Management Center التعامل مع تصحيح CVE-2026-20131 كحالة طوارئ. إلى جانب الإصلاح الفوري، يتطلب هذا الحادث مراجعة أوسع لكشف واجهات الإدارة عبر جميع أجهزة الأمان — وليس Cisco فقط. نافذة الثغرة الصفرية البالغة 36 يومًا تعني أن أي مؤسسة كان لديها FMC يمكن الوصول إليه عبر الإنترنت بين 26 يناير و4 مارس يجب أن تفترض احتمال الاختراق وتجري مراجعة جنائية رقمية.

عندما يصبح جدار الحماية نقطة الدخول

في 4 مارس 2026، نشرت Cisco تحذيرًا أمنيًا طارئًا بشأن CVE-2026-20131، وهي ثغرة حرجة في إلغاء التسلسل غير الآمن في برنامج Secure Firewall Management Center (FMC). حصلت الثغرة على أعلى درجة CVSS وهي 10.0: يمكن لمهاجم غير مصادق عليه تنفيذ كود Java عشوائي بصلاحيات root على جهاز FMC من خلال إرسال طلب HTTP واحد مصمم خصيصًا إلى واجهة الإدارة عبر الويب.

جاء التحذير متأخرًا بأسابيع. كشفت أبحاث فريق Amazon threat intelligence، التي أُجريت باستخدام شبكة MadPot العالمية لمصائد الاختراق، أن مجموعة برنامج الفدية Interlock كانت تستغل CVE-2026-20131 كثغرة صفرية منذ 26 يناير 2026 — نافذة مدتها 36 يومًا لم يكن فيها أي تصحيح متاح وكان معظم المدافعين يجهلون وجود الثغرة.

أضافت CISA ثغرة CVE-2026-20131 إلى كتالوج الثغرات المستغلة المعروفة (KEV) في 19 مارس، مُلزمةً جميع الوكالات الفيدرالية الأمريكية بتطبيق التصحيح قبل 9 أبريل 2026.

تشريح CVE-2026-20131: إلغاء التسلسل على مستوى Root

تكمن الثغرة في واجهة الإدارة عبر الويب الخاصة بـ Cisco FMC. تعالج المنصة كائنات Java المُسَلسَلة المستلمة عبر واجهة برمجة التطبيقات (API) للإدارة عبر HTTP. توجد CVE-2026-20131 لأن FMC يفك تسلسل تدفقات بايت Java المقدمة من المستخدم دون التحقق الكافي، مما يسمح للمهاجم بحقن كائن مُسَلسَل ضار يؤدي إلى تنفيذ كود عشوائي.

تقيّم Cisco الثغرة بدرجة 10.0 على مقياس CVSS 3.1 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). كل مقياس في أسوأ حالاته: قابلة للاستغلال عبر الشبكة، تعقيد منخفض، لا تتطلب مصادقة، لا تتطلب تفاعل المستخدم، والتأثير يمتد إلى ما وراء FMC نفسه ليشمل جميع أجهزة جدار الحماية المُدارة.

تصنيف “Scope: Changed” حاسم. يعد Cisco FMC المنصة المركزية لإدارة أجهزة Firepower Threat Defense (FTD). يخزن سياسات جدار الحماية وخرائط طوبولوجيا الشبكة وسجلات الأحداث الأمنية ومخازن بيانات الاعتماد لتكامل Active Directory وتكوينات VPN. يمنح الوصول بصلاحيات root إلى FMC للمهاجم خريطة شاملة للشبكة المستهدفة والقدرة على تعديل قواعد جدار الحماية — وهو ما يعادل تسليمه مفاتيح البنية التحتية التي نُشر الجهاز لحمايتها.

أكدت Cisco عدم وجود أي حلول بديلة. العلاج الوحيد هو تطبيق التصحيح. يقلل تقييد الوصول إلى واجهة FMC عبر الويب إلى شبكات إدارة موثوقة من سطح الهجوم لكنه لا يزيل الثغرة. تشمل الإصدارات المتأثرة 6.4.0 و7.0.x حتى 7.7.x و10.0.0.

Interlock: مجموعة برنامج الفدية وراء الحملة

ظهرت Interlock لأول مرة في سبتمبر 2024 ومنذ ذلك الحين ادعت مسؤوليتها عن أكثر من 60 ضحية في أمريكا الشمالية وأوروبا. على عكس معظم مشغلي برامج الفدية، لا تدير Interlock برنامج ransomware-as-a-service (RaaS) — بل تعمل بشكل مستقل، وتطور أدوات التشفير الخاصة بها لنظامي Windows وLinux، وتحتفظ بموقع تسريب خاص يُسمى “Worldwide Secrets Blog” للضغط على الضحايا من خلال الابتزاز المزدوج.

أظهرت المجموعة نمطًا ثابتًا في استهداف القطاعات التي يؤدي فيها التعطيل التشغيلي إلى دفع الفدية. كان قطاع الرعاية الصحية هدفًا متكررًا: في عام 2025، كانت Interlock مسؤولة عن اختراق DaVita في أبريل (تعريض بيانات 2.7 مليون فرد للخطر من مزود غسيل الكلى) وهجوم Kettering Health في مايو (تعطيل 14 مستشفى وأكثر من 120 منشأة للعيادات الخارجية في Ohio، مع رفع عشرات الدعاوى القضائية بسبب تأخر الرعاية الصحية). كما استهدفت المجموعة نظام Texas Tech University ومدينة Saint Paul في Minnesota.

تطورت أساليب الوصول الأولي لـ Interlock عبر ثلاث مراحل موثقة. استخدمت الحملات الأولى التنزيلات الخفية من مواقع شرعية مخترقة. بحلول فبراير 2025، أضافت المجموعة هندسة ClickFix الاجتماعية — منتحلة صفة برامج الاتصال عن بُعد مثل FortiClient VPN وCisco AnyConnect. في يوليو 2025، أصدرت CISA والـ FBI تحذيرًا مشتركًا #StopRansomware ينبه إلى أن Interlock قد طورت برمجياتها الخبيثة، بما في ذلك حصان طروادة مخصص للوصول عن بُعد يُدعى NodeSnake، ومؤخرًا سلالة برمجيات خبيثة مُولَّدة بالذكاء الاصطناعي تُسمى Slopoly.

يمثل استغلال CVE-2026-20131 تصعيدًا كبيرًا في القدرات. استخدام ثغرة صفرية في منصة إدارة جدار الحماية الرئيسية لمورد أمني كبير يضع Interlock في مستوى أعلى من المجموعات التي تعتمد على الثغرات المعروفة ووسطاء الوصول التقليديين.

كيف تكشّفت الهجمات

جمعت فرق Amazon threat intelligence تفاصيل الحملة بعد إفصاح Cisco في 4 مارس. باستخدام MadPot — شبكة Amazon العالمية من خوادم مصائد الاختراق — حدد الباحثون نشاط استغلال يعود إلى 26 يناير 2026. أدى خطأ في أمن العمليات من جانب مشغلي Interlock — خادم بنية تحتية خاطئ التكوين — إلى كشف مجموعة أدوات الهجوم الكاملة للمجموعة.

تعمل سلسلة الهجوم المرصودة على النحو التالي:

الاستغلال الأولي: تُرسل طلبات HTTP تحتوي على كائنات Java مُسَلسَلة ضارة إلى واجهة إدارة FMC عبر الويب. عند نجاح الاستغلال، ينفذ FMC المخترق طلب HTTP PUT إلى خادم يتحكم فيه المهاجم، مؤكدًا الاختراق.

تسليم الحمولة: تأمر الأوامر FMC المخترق بتنزيل ملف ELF ثنائي من خادم بعيد يستضيف أدوات Interlock الإضافية.

تعداد الشبكة: تقوم نصوص PowerShell برسم خريطة منهجية لبيئة Windows الخاصة بالضحية — جمع تفاصيل نظام التشغيل ومعلومات العتاد والخدمات النشطة والبرامج المثبتة وتكوين التخزين وبيانات المتصفح عبر أجهزة متعددة.

الوصول المستمر: تحافظ أحصنة طروادة مخصصة للوصول عن بُعد مكتوبة بلغتي JavaScript وJava على اتصال C2، مما يتيح تنفيذ الأوامر ونقل الملفات واستخراج البيانات المشفرة.

التهرب: يحول سكريبت Bash الخوادم Linux المخترقة إلى وكلاء عكسيين HTTP يعيدون توجيه حركة المرور إلى أنظمة يتحكم فيها المهاجم مع مسح السجلات كل خمس دقائق، مما يجعل التحليل الجنائي الرقمي صعبًا للغاية.

نشر برنامج الفدية: بعد استخراج البيانات، تنشر Interlock أدوات التشفير المخصصة عبر بيئة الضحية، مضيفةً الامتداد `.interlock` إلى الملفات المشفرة وتاركةً مذكرات فدية توجه الضحايا إلى بوابة تفاوض عبر Tor.

أكدت Amazon أن بنية AWS التحتية وأعباء عمل العملاء لم تكن متورطة في الحملة.

المشكلة الهيكلية: أجهزة الأمان كسطح هجوم

تنتمي CVE-2026-20131 إلى فئة متنامية من الثغرات التي تقوض نموذج الأمان المحيطي التقليدي: العيوب الحرجة في أجهزة الأمان نفسها. تقع جدران الحماية وبوابات VPN ومنصات الإدارة على حدود الشبكة، وتعالج مدخلات غير موثوقة، وعند اختراقها — توفر للمهاجمين نقطة مراقبة مميزة مع إمكانية الوصول إلى سياسات الأمان وسجلات الأحداث وبيانات الاعتماد المخزنة.

كان النمط ثابتًا على مدار السنوات الثلاث الماضية. عانى Ivanti Connect Secure من ثغرات صفرية متعددة استغلها فاعلون مدعومون من دول في 2024 و2025. صححت Palo Alto Networks ثغرة CVE-2024-3400، وهي حقن أوامر في GlobalProtect استُغلت كثغرة صفرية. عالجت Fortinet ثغرات حرجة متعددة لتجاوز المصادقة بين 2023 و2025. واستُغلت CVE-2023-4966 في Citrix NetScaler (“Citrix Bleed”) على نطاق واسع من قبل مجموعات برامج الفدية.

تستمر مشكلة كشف واجهات الإدارة بسبب الراحة التشغيلية (رغبة المسؤولين في الوصول عن بُعد)، والهجرة السحابية (وضع واجهات الإدارة في شرائح يمكن الوصول إليها من السحابة)، والاعتماد على VPN (إذا تم اختراق VPN، فإن واجهة الإدارة خلفه مكشوفة أيضًا).

بالنسبة لمؤسسات الرعاية الصحية، تتفاقم المشكلة بسبب نقص كوادر فرق تقنية المعلومات، والبيئات السريرية المعقدة التي تمزج بين الأنظمة الحديثة والقديمة، والتكلفة المرتفعة لنوافذ الصيانة التي قد تعطل رعاية المرضى. أثبتت Interlock مرارًا استعدادها لاستغلال هذا الوضع.

الاستجابة لـ CVE-2026-20131

يجب على المؤسسات التي تستخدم Cisco FMC التعامل مع هذا الأمر كحالة طوارئ:

تطبيق التصحيح فورًا. ثبّت تحديث 4 مارس 2026. لا توجد حلول بديلة.
تقييد وصول الإدارة. انقل واجهة FMC عبر الويب إلى شبكة VLAN إدارية مخصصة لا يمكن الوصول إليها إلا من محطات عمل المسؤولين المعتمدة.
إجراء فرز جنائي رقمي. راجع سجلات FMC من 26 يناير حتى 4 مارس بحثًا عن طلبات HTTP POST غير عادية وتنفيذ عمليات غير متوقعة وتغييرات غير مصرح بها في سياسات جدار الحماية.
تدقيق Active Directory. ابحث عن حسابات إدارية جديدة وتغييرات في عضوية المجموعات وشذوذات تذاكر Kerberos واتصالات RDP غير متوقعة.
التحقق من سلامة النسخ الاحتياطية. تستهدف Interlock تحديدًا البنية التحتية للنسخ الاحتياطي. تأكد من أن نسخك الاحتياطية سليمة وقابلة للاسترداد.
نشر مراقبة السلامة. يمكن لمراقبة سلامة الملفات (FIM) على أجهزة FMC اكتشاف التغييرات غير المصرح بها في نظام الملفات التي تشير إلى نشاط ما بعد الاستغلال.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما الذي يجعل CVE-2026-20131 خطيرة للغاية مقارنة بثغرات جدران الحماية النموذجية؟

تتضافر ثلاثة عوامل لجعل هذه الثغرة شديدة الخطورة بشكل استثنائي. أولًا، لا تتطلب الثغرة أي مصادقة ويمكن استغلالها عن بُعد بطلب HTTP واحد. ثانيًا، يمنح الاستغلال الناجح صلاحيات root — ليس على خادم عادي بل على المنصة المركزية للإدارة التي تتحكم في كامل نشر جدران حماية Cisco للمؤسسة، بما في ذلك بيانات الاعتماد المخزنة وخرائط طوبولوجيا الشبكة. ثالثًا، نافذة استغلال الثغرة الصفرية البالغة 36 يومًا تعني أن المؤسسات لم تستطع الدفاع ضد هجمات لم تكن تعلم بوجودها.

كيف اكتشفت Amazon حملة Interlock التي تستغل هذه الثغرة؟

بعد إفصاح Cisco في 4 مارس 2026، بدأ فريق Amazon threat intelligence التحقيق باستخدام MadPot، شبكته العالمية من خوادم مصائد الاختراق المصممة لجذب ومراقبة النشاط الإجرامي السيبراني. أدى خطأ في أمن العمليات من جانب مشغلي Interlock — خادم بنية تحتية خاطئ التكوين — إلى كشف مجموعة الأدوات الكاملة للمجموعة، بما في ذلك سلسلة الهجوم متعددة المراحل وأحصنة طروادة الوصول عن بُعد المخصصة ونصوص استطلاع الشبكة وتقنيات التهرب بمسح السجلات. مكّن هذا Amazon من تتبع نشاط الاستغلال إلى 26 يناير 2026.

هل ترتبط هذه الثغرة بهجمات Interlock السابقة على المستشفيات مثل DaVita وKettering Health؟

كان اختراق DaVita (أبريل 2025) وهجوم Kettering Health (مايو 2025) حملات Interlock سابقة استخدمت أساليب وصول أولي مختلفة، وليس CVE-2026-20131. ومع ذلك، يُظهران نمطًا ثابتًا: تستهدف Interlock عمدًا مؤسسات الرعاية الصحية لأن التعطيل التشغيلي لرعاية المرضى يخلق أقصى ضغط لدفع الفدية. تمثل حملة CVE-2026-20131 تصعيدًا في القدرات — من الهندسة الاجتماعية والثغرات المعروفة إلى استغلال ثغرات صفرية في البنية التحتية الأمنية للمؤسسات.