استغلال ثغرة Authentication Bypass فـ Cisco Catalyst SD-WAN Controller فهجمات محدودة

خلاصة: صدرات شركة Cisco تحديثات ترقيع لثغرة CVE-2026-20182، لي هي ثغرة authentication bypass بخطورة قصوى فـ Catalyst SD-WAN Controller و Manager. هاد الثغرة كتخلي أي مهاجم عن بعد وبلا مصادقة ياخد صلاحيات الإدارة (administrative access). هاد الخلل تستغل فهجمات محدودة من ماي 2026 وكيقيس بزاف ديال أنواع الـ deployment. الأنظمة لي مكونيكتية للأنترنيت فهاد اللحظة معرضة لخطر كبير.

شنو واقع

كشفات Cisco على ثغرة authentication bypass حرجة فـ آلية الـ peering authentication ديال Catalyst SD-WAN Controller (لي كان سميتو شحال هادي SD-WAN vSmart) و Catalyst SD-WAN Manager (لي كان سميتو SD-WAN vManage). هاد الثغرة، لي مرقمة بـ CVE-2026-20182، كتحمل تنقيط CVSS ديال 10.0.

المشكل الأساسي جاي من خلل فـ آلية الـ peering authentication. يقدر أي مهاجم يستغلو يلا صيفط طلبات (requests) خبيثة للنظام المصاب. الاستغلال الناجح كيخلي المهاجم يدخل لـ Catalyst SD-WAN Controller بحساب داخلي عندو صلاحيات عالية وماشي root. من هاد البلاصة، كيقدر المهاجم يوصل لـ NETCONF ويبدل فـ إعدادات الشبكة (network configuration) على طول الـ SD-WAN fabric.

هاد الثغرة كتقيس خدمة vdaemon عبر بروتوكول DTLS فـ port ديال الـ UDP رقم 12346. باحثين أمنيين من فريق Rapid7 هما لي كتاشفو هاد الخلل ولاحظو بلي واخا هاد المشكل كيستهدف نفس الخدمة لي كانت فيها ثغرة CVE-2026-20127 (لي حتى هي authentication bypass حرجة بـ 10.0 فـ CVSS)، فإن CVE-2026-20182 هي ثغرة مختلفة وجات فبلاصة مشابهة فـ networking stack ديال vdaemon — وماشي طريقة باش يتخطى المهاجم الترقيع (patch bypass) ديال الثغرة القديمة.

عاقات Cisco بلي كاين استغلال محدود لهاد الخلل فـ ماي 2026. الشركة خرجات التحديثات وكتأكد على الكليان ديالها باش يطبقو الترقيع فالحين.

علاش هادشي مهم

بالنسبة للفرق ديال الـ infrastructure ومحللي الـ SOC فالمغرب والمنطقة، هاد الثغرة كتمثل طريق نيشان لاختراق الإدارة ديال SD-WAN fabric. غير المهاجم ياخد صلاحيات عالية، كيقدر يبدل فـ إعدادات الشبكة، يوجه الترافيك لجهة أخرى (redirecting traffic)، يحبس الخدمات (disrupting services)، أو يزرع باب خلفي للوصول المتواصل والدايم عبر اتصالات الفروع والـ WAN. هادشي تيشكل خطر حاد للمؤسسات لي خدامة بـ بنيات hybrid أو فروع متعددة وكتعتمد على SD-WAN فـ هندسة الترافيك وتجزئة الشبكة (segmentation).

القضية لي كتزيد تصعب الأمور هي أن الاستغلال ماكيطلب حتى مصادقة ومكيحتاج حتى تفاعل من المستخدم، وهادشي كيسهل المأمورية على أي مهاجم. أي واجهة إدارة (management interface) باينة للأنترنيت كتولي مساحة للهجوم (attack surface). العلاقة مع UAT-8616، لي هو فاعل التهديد لي كان كيستغل الثغرة المشابهة CVE-2026-20127 من 2023 على الأقل، كتبين بلي كاين اهتمام كبير ومرسخ من القراصنة بهاد الواجهات.

الأنظمة المتضررة وأرقام الـ CVEs

• نظام Cisco Catalyst SD-WAN Controller (On-Premises Deployment)
• نظام Cisco Catalyst SD-WAN Manager (On-Premises Deployment)
• نظام Cisco SD-WAN Cloud-Pro
• نظام Cisco SD-WAN Cloud (Cisco Managed)
• نظام Cisco SD-WAN for Government (FedRAMP)

معرفات الثغرات (CVE identifiers):

• ثغرة CVE-2026-20182 (بـ CVSS 10.0) — ثغرة authentication bypass فـ خدمة vdaemon عبر بروتوكول DTLS (فـ UDP port 12346).
• ثغرة CVE-2026-20127 (بـ CVSS 10.0) — ثغرة authentication bypass حرجة عندها علاقة بالموضوع، كيستغلها فاعل التهديد UAT-8616 من 2023 على الأقل.

شنو خاصنا نديرو

• طبق آخر التحديثات الأمنية لي خرجاتها Cisco دابا وبلا تعطل، خصوصا للأنظمة لي باينة ومربوطة بالأنترنيت.
• راقب وتبّع الـ logs فـ المسار /var/log/auth.log باش تقلب على الأسطر لي فيها "Accepted publickey for vmanage-admin from unknown or unauthorized IP addresses."
• حضي الـ logs ديال تحركات الـ peering المشبوهة، بحال اتصالات peer مامصرحش بيها فأوقات غير متوقعة، أو جاية من عناوين IP ممعروفاش، أو فيها أنواع ديال الأجهزة مامتوافقاش مع بنية الشبكة ديالكوم.
• حد من إمكانية وصول Catalyst SD-WAN Controller للأنترنيت وتأكد بلي واجهات الإدارة (management interfaces) ممعروضاش لشبكات مافيهاش الثقة (untrusted networks).
• راقب الـ peering logs باش تكتشف الأجهزة لي ماكتناسبش مع الـ network topology ديالك.

أسئلة باقا مطروحة

• العدد ديال المؤسسات أو الأجهزة (endpoints) لي تقاست بهاد الاستغلال النشط مازاال ممحددش فـ التقرير.
• الإصدارات المحددة ديال برامج Cisco لي مصابة بـ CVE-2026-20182 ما مدكوراش بالتفصيل فـ الإعلان التقني (advisory).
• النطاق الجغرافي ولا القطاعات المستهدفة فهاد الحملة ديال الاستغلال المحدود مازالا ممعروفاش.
• مامؤكدش واش فاعل التهديد UAT-8616 حتى هو استغل ثغرة CVE-2026-20182 أو باقي مركز غير على الثغرة القديمة CVE-2026-20127.
• واش Cisco خرجات تحديثات الترقيع لجميع أنواع الـ deployments المصابة (On-Premises، و Cloud-Pro، و Managed Cloud، و FedRAMP) داكشي باقي ممأكدش بشكل قاطع فـ المنشور ديالها.

المصدر

Cisco Catalyst SD-WAN Controller Auth Bypass Actively Exploited to Gain Admin Access