وضعیت بحرانی در زیرساختهای شبکه جهان؛ امتیاز ۱۰ از ۱۰ برای حفره امنیتی سیسکو!
یک بحران سایبری در بالاترین سطح حاکمیتی، آژانسهای امنیت ملی جهان را به حالت آمادهباش کامل درآورده است. آژانس امنیت سایبری و زیرساخت آمریکا (CISA)، در بیانیهای اضطراری و با هماهنگی کامل ائتلاف اطلاعاتی «پنج چشم»، به تمامی نهادهای فدرال دستور داد تا ظرف کمترین زمان ممکن (تا پایان روز یکشنبه) حفره امنیتی فوقبحرانی جدید در سیستمهای Cisco SD-WAN را وصله کنند. این آسیبپذیری که با شناسه CVE-2026-20182 ردیابی شده، بالاترین امتیاز خطر یعنی ۱۰ از ۱۰ را دریافت کرده است که نشاندهنده پتانسیل ویرانگر آن در فلج کردن شبکههای سازمانی است.
۱. کالبدشکافیCVE-2026-20182: کلید اصلی در دست هکرهای دولتی
شرکت سیسکو (Cisco) روز پنجشنبه با انتشار یک اصلاحیه اضطراری اعتراف کرد که این باگ به یک مهاجم ناشناس و از راه دور اجازه میدهد بدون نیاز به هیچگونه نام کاربری یا رمز عبور(Unauthenticated)، لایههای احراز هویت را به طور کامل دور زده و بالاترین سطح دسترسی مدیریتی (ادمین) را روی سیستمهای قربانی به دست آورد.
محققان شرکت امنیتیRapid7 که این حفره را در جریان ردیابی باگ قبلی ماه فوریه کشف کردهاند، میگویند این آسیبپذیری مانند یک کلید اصلی (Master Key) برای کل زیرساخت شبکه عمل میکند. مهاجم میتواند خود را به عنوان یک روتر شبکه قابل اعتماد به کنترلکننده مرکزی معرفی کند و سیستم نیز بدون بازبینی دقیق، این ادعا را میپذیرد.
۲. شگرد جدی (Jedi Mind Trick) در دنیای واقعی سایبری
این آسیبپذیری دقیقاً نسخه سایبری از کلک فکری جدی (Jedi mind trick) در فیلم جنگ ستارگان است!
داگلاس مککی، مدیر بخش هوش آسیبپذیری درRapid7، این واقعه را به یک تکنیک فریب سینمایی تشبیه کرده است:
مهاجم به کنترلکننده مرکزی شبکه اشاره میکند و میگوید: "این آن روتری نیست که به دنبالش میگردی، به من اعتماد کن!" و کنترلکننده سیسکو بدون هیچ سؤالی سر تکان میدهد و اجازه عبور صادر میکند.
۳. استراتژی هکرهای دولتی: هدف، سرقت نیست؛ ماندگاری است!
نکتهای که ما در ۲۴ نیوز بر آن پای میفشاریم، نوع رفتار هکرهای پشت این کمپین است. کارشناسان تأکید دارند که این حفره، پلتفرمی ایدهآل برای هکرهای تحت حمایت دولتها (Nation-state actors) است. این مهاجمان به دنبال حملات ضربتی یا سرقتهای سریع نیستند؛ هدف آنها ماندگاری خاموش (Persistence) در شبکه است. کنترلکننده SD-WAN دقیقاً در قلب روابط اعتمادی یک سازمان قرار دارد که کمتر کسی به آن شک میکند. هکرها با استقرار در این بخش، ماهها به صورت مخفیانه به رصد دادهها، نفوذ به بخشهای دیگر و آمادهسازی زیرساخت برای حملات هماهنگ در زمان مقتضی میپردازند.
۴. اقدامات اورژانسی و دستورالعمل پنج چشم
با توجه به اینکه بهرهبرداری فعال از این باگ در ماه جاری میلادی مشاهده شده است،CISA نه تنها دستور نصب فوری پچ سیسکو را صادر کرده، بلکه از سازمانها خواسته تا پروتکلهای بیانیه اضطراری ماه فوریه را مجدداً اجرا کنند. این اقدامات شامل:
- شناسایی فوری تمام تجهیزات Cisco SD-WAN متصل به شبکه.
- جمعآوری و تحلیل عمیق تمام لاگهای دسترسی(Access Logs).
- شکار نشانههای آلودگی (Threat Hunting) برای اطمینان از عدم پیشنشینی هکرها.
برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)
