ثغرة Cisco SD-WAN Zero-Day: كيف اختبأ UAT-8616 لمدة ثلاث سنوات

اختراق استمر ثلاث سنوات وشهر واحد من المواجهة

في 25 فبراير 2026، نشر Cisco Talos تحذيرا يؤكد أن ثغرة zero-day حرجة في Cisco Catalyst SD-WAN كانت تُستغل بنشاط منذ عام 2023 على الأقل من قبل فاعل تهديد متطور يتتبعه تحت اسم UAT-8616. في اليوم ذاته، أصدرت ست وكالات من تحالف Five Eyes تحذيرا مشتركا، ونشرت CISA التوجيه الطارئ 26-03 الذي يأمر الوكالات الفيدرالية بالتحرك خلال أيام.

الثغرة المعنية، CVE-2026-20127، تحمل تقييم CVSS الأقصى 10.0. تؤثر على كل من Cisco Catalyst SD-WAN Controller (المعروف سابقا بـ vSmart) وSD-WAN Manager (المعروف سابقا بـ vManage) — مكونات التنسيق المركزية التي تدير شبكات SD-WAN المؤسسية بالكامل. فجوة ثلاث سنوات بين أول استغلال والاكتشاف تجعل هذا من أطول اختراقات البنية التحتية الحرجة في الذاكرة الحديثة.

الثغرة: خلل في مصادقة الاقتران

CVE-2026-20127 هي ثغرة تجاوز المصادقة في آلية مصادقة الاقتران المستخدمة في مكونات التحكم والإدارة لـ Cisco Catalyst SD-WAN. وفقا لتحذير Cisco الأمني، توجد الثغرة لأن «آلية مصادقة الاقتران في النظام المتأثر لا تعمل بشكل صحيح». يمكن لمهاجم عن بعد غير مصادق إرسال طلبات مُصاغة تتجاوز فحوصات الثقة المتوقعة بين مكونات SD-WAN، والحصول على وصول كمستخدم غير root ذي صلاحيات عالية.

هذا الوصول كافٍ للوصول إلى واجهة NETCONF والتلاعب بالتكوينات عبر شبكة SD-WAN بالكامل — بما في ذلك سياسات التوجيه وقواعد التجزئة وعلاقات الاقتران. في بنية SD-WAN المركزية، اختراق المتحكم يعني إمكانية التأثير على كل جهاز طرفي يديره.

يعكس تقييم CVSS الأقصى 10.0 تقاطع عوامل السيناريو الأسوأ: الهجوم قابل للاستغلال عبر الشبكة، لا يتطلب مصادقة، لا يحتاج تفاعل المستخدم، منخفض التعقيد، ويمتد تأثيره إلى ما وراء المكون المعرض ليشمل جميع الأجهزة المُدارة في الشبكة.

سلسلة الهجوم: تخفيض الإصدار، تصعيد الصلاحيات، الاستعادة

لم يعتمد UAT-8616 على CVE-2026-20127 وحدها. أكد Cisco Talos أن فاعل التهديد قام بشكل منهجي بتسلسلها مع CVE-2022-20775، وهي ثغرة تصعيد صلاحيات عبر اجتياز المسار في برنامج Cisco SD-WAN تم الكشف عنها في 2022 بتقييم CVSS يبلغ 7.8.

تعمل سلسلة الهجوم كالتالي:

1. CVE-2026-20127 — تجاوز المصادقة على SD-WAN Controller/Manager والحصول على وصول غير root بصلاحيات عالية
2. تخفيض إصدار البرنامج — استخدام آلية التحديث المدمجة لتخفيض إصدار برنامج المتحكم عمدا إلى إصدار معرض لـ CVE-2022-20775
3. CVE-2022-20775 — استغلال ثغرة اجتياز المسار للتصعيد من سياق تطبيق SD-WAN إلى وصول root كامل على نظام التشغيل الأساسي
4. استعادة الإصدار — استعادة إصدار البرنامج الأصلي لإخفاء أدلة التخفيض والاستغلال

تتميز هذه السلسلة بتطورها المضاد للتحقيق الجنائي. باستعادة إصدار البرنامج بعد الاستغلال، أزال UAT-8616 أحد أوضح مؤشرات الاختراق — عدم تطابق إصدار البرنامج — مما جعل الاكتشاف أصعب بكثير.

فاعل التهديد: UAT-8616

يُقيّم Cisco Talos «بثقة عالية» أن UAT-8616 هو فاعل تهديد سيبراني عالي التطور. لا ينسب التحذير الحملة رسميا إلى دولة محددة، لكن الخصائص التشغيلية — فترة إقامة طويلة، التركيز على البنية التحتية الحرجة، أهداف جمع معلومات بدلا من التدمير — تتوافق مع التجسس المدعوم من دولة.

تشير الأدلة إلى أن الحملة تعود إلى عام 2023 على الأقل، مما منح UAT-8616 نحو ثلاث سنوات من الوصول قبل الاكتشاف. استهدف الفاعل قطاعات البنية التحتية الحرجة، مستغلا الوصول بصلاحيات root للحصول على رؤية لحركة المرور المشفرة والاتصالات المؤسسية عبر بيئات SD-WAN المخترقة.

تتماشى الحملة مع اتجاه أوسع لفاعلين متطورين يستهدفون أجهزة الشبكات الطرفية. في 2024، أظهرت حملة Volt Typhoon تكتيكات مماثلة، باستغلال ثغرات في أجهزة Fortinet وIvanti وCisco للتموضع المسبق في شبكات البنية التحتية الحرجة. تبقى أجهزة الشبكات أهدافا جذابة لأنها تقع على الحدود بين الشبكات الموثوقة وغير الموثوقة، وتتعامل مع كل حركة المرور المؤسسية، وتحظى بمراقبة أمنية أقل بكثير من الأجهزة الطرفية أو أعباء العمل السحابية.

التوجيه الطارئ CISA 26-03

فرض التوجيه الطارئ 26-03 الصادر عن CISA في 25 فبراير 2026 مواعيد نهائية متدرجة صارمة على جميع الوكالات الفيدرالية المدنية (FCEB):

• 26 فبراير 2026 — جرد جميع أنظمة Cisco SD-WAN والإبلاغ لـ CISA
• 27 فبراير 2026 (الساعة 17:00 بالتوقيت الشرقي) — تطبيق التصحيحات المقدمة من Cisco على جميع الأنظمة المتأثرة
• 23 مارس 2026 — تقديم جميع بيانات syslog لأجهزة SD-WAN إلى مستودع CISA للتجميع السحابي للسجلات (CLAW)

تُعد مهلة التصحيح البالغة يومين من أقصر المهل التي فرضتها CISA على الإطلاق. للمقارنة، تمنح معظم التوجيهات الطارئة من أسبوع إلى أسبوعين للمعالجة الكاملة. كما صدر توجيه تكميلي يتضمن إرشادات البحث عن التهديدات والتقوية.

قدم التحذير المشترك من ست وكالات Five Eyes — CISA وNSA وNCSC (المملكة المتحدة) وASD/ACSC (أستراليا) وCCCS (كندا) وNCSC-NZ — مؤشرات اختراق مفصلة وإرشادات كشف وتدابير تخفيف موصى بها. تُنسب لسلطات الأمن السيبراني الأسترالية عملية التحديد الأولية التي أدت إلى الإفصاح المنسق.

لماذا ثلاث سنوات دون اكتشاف؟

تكشف فترة الإقامة البالغة ثلاث سنوات عن نقاط ضعف هيكلية في كيفية مراقبة المؤسسات للبنية التحتية الشبكية.

أجهزة الشبكات هي نقطة عمياء في الاكتشاف. استثمر أمن المؤسسات بكثافة في الكشف والاستجابة على الأجهزة الطرفية (EDR) للخوادم ومحطات العمل، وفي إدارة وضع الأمن السحابي (CSPM) للبيئات السحابية. لكن أجهزة الشبكات — الموجهات ومتحكمات SD-WAN وجدران الحماية — تعمل بأنظمة تشغيل مملوكة مع دعم محدود لوكلاء الأمن من أطراف ثالثة. سجلاتها تسجل أحداث التكوين وليس القياس عن بعد على مستوى العمليات الذي يعتمد عليه EDR.

تعقيد SD-WAN يخفي التعديلات الخبيثة. تتضمن منصات SD-WAN تنسيقا مركزيا وأجهزة طرفية موزعة وأنفاقا مشفرة وتغييرات تكوين متكررة تفرضها متطلبات الأداء. تندمج تعديلات التكوين الخبيثة بسلاسة مع الحجم الكبير من التغييرات التشغيلية المشروعة التي تحدث يوميا في نشر SD-WAN واسع النطاق.

بطء تصحيح البنية التحتية الشبكية. تم الكشف عن CVE-2022-20775 في 2022، ومع ذلك لم تكن العديد من المؤسسات قد صححتها بحلول 2023 عندما بدأ UAT-8616 بتسلسلها مع ثغرة zero-day. تتطلب تحديثات firmware لأجهزة الشبكات نوافذ صيانة واختبارات انحدار وعمليات نشر متدرجة وأحيانا وصولا فعليا — عملية قد تستغرق أسابيع أو أشهر. بحلول 2026، تتوقع Gartner أن 70% من المؤسسات ستكون قد طبقت SD-WAN، مما يجعل تحدي التصحيح مصدر قلق على مستوى الصناعة.

تعرض مستوى الإدارة. يجب أن تتواصل متحكمات SD-WAN مع الأجهزة الطرفية الموزعة، مما يخلق ضغطا لجعل واجهات الإدارة متاحة عبر الشبكة. المؤسسات التي تكشف مستويات إدارة SD-WAN للإنترنت — سواء عمدا للإدارة عن بعد أو عن غير قصد عبر ضوابط وصول خاطئة التكوين — توفر المسار الشبكي الذي يحتاجه المهاجمون.

توصيات التقوية

تعزز الحملة الحاجة إلى توسيع مبادئ عدم الثقة لتشمل البنية التحتية الشبكية:

• عزل مستوى الإدارة. يجب ألا تكون واجهات SD-WAN Controller وManager متاحة إلا من شبكات إدارة مخصصة، وليس أبدا من الإنترنت أو قطاعات المؤسسة ذات الاستخدام العام.
• فرض مصادقة متعددة الطبقات. حتى لو تم تجاوز المصادقة على مستوى التطبيق، يمكن لضوابط الوصول على مستوى الشبكة والمصادقة متعددة العوامل عند حدود الإدارة الحد من التعرض.
• مراقبة انحراف التكوين. نشر أدوات آلية تقارن باستمرار التكوينات الجارية مع خطوط أساس معروفة وتنبه عند التعديلات غير المصرح بها على قوالب وسياسات الأجهزة.
• تسريع تصحيح أجهزة الشبكات. وضع إيقاع منتظم لتحديثات firmware حتى لو تطلب ذلك نوافذ صيانة مجدولة. تُظهر سلسلة CVE-2022-20775 أن الثغرات « المعروفة » غير المصححة تصبح مضاعفات قوة لثغرات zero-day.
• البحث الاستباقي. إجراء عمليات بحث دورية عن التهديدات تركز تحديدا على البنية التحتية الشبكية باستخدام مؤشرات الاختراق المنشورة في تحذير Five Eyes والإرشادات التكميلية لـ CISA.

المصادر والقراءات الإضافية

• Active Exploitation of Cisco Catalyst SD-WAN by UAT-8616 — Cisco Talos Intelligence
• ED 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems — CISA
• Cisco Security Advisory: Catalyst SD-WAN Controller Authentication Bypass — Cisco PSIRT
• CISA and Partners Release Guidance for Ongoing Global Exploitation of Cisco SD-WAN Systems — CISA
• Cisco SD-WAN Zero-Day CVE-2026-20127 Exploited Since 2023 — The Hacker News
• Five Eyes Urge Action as Cisco Zero-Day Attacks Uncovered — The Register
• CVE-2022-20775: Cisco SD-WAN Privilege Escalation — NVD
• Joint Advisory on Exploitation of SD-WAN Appliances — NSA/DoD