CISA تمنح الوكالات الفيدرالية 72 ساعة لإصلاح ثغرة خطيرة في خوادم Cisco

أبرز النقاط

• CISA تُلزم الوكالات الفيدرالية بترقيع ثغرة CVE-2026-20230 قبل يوم الأحد 28 يونيو
• الثغرة تُستغل حالياً في هجمات فعلية لكتابة ملفات عشوائية على الخوادم المستهدفة
• أُضيفت أيضاً ثغرة RCE حرجة في منتجات PTC Windchill وFlexPLM بنفس الموعد النهائي

في خطوة تعكس خطورة الوضع، منحت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الوكالات الفيدرالية مهلة 72 ساعة فقط لمعالجة ثغرة أمنية حرجة في خوادم Cisco Unified Communications Manager، بعد رصد استغلالها النشط في هجمات إلكترونية حقيقية.

الثغرة المُسجلة برقم CVE-2026-20230 هي من نوع Server-Side Request Forgery (SSRF)، وقد أُدرجت في كتالوج الثغرات المُستغلة المعروفة (KEV) التابع للوكالة. ووفقاً للتوجيه التشغيلي الملزم BOD 26-04، يجب إتمام الترقيع قبل يوم الأحد 28 يونيو 2026.

ما الذي يجعل هذه الثغرة خطيرة؟

صنّفت Cisco الثغرة بدرجة خطورة حرجة، وأصدرت تصحيحاً أمنياً في 3 يونيو. الخطير في الأمر أن الاستغلال يتم عن بُعد ودون الحاجة إلى مصادقة، عبر طلبات HTTP مُعدّة خصيصاً. وقتها، أشارت الشركة إلى وجود كود استغلال تجريبي (proof-of-concept)، لكنها لم تجد دليلاً على استغلال فعلي.

تغيّر الوضع في نهاية الأسبوع الماضي، حين رصدت شركة Defused الناشئة المتخصصة في كشف التهديدات استغلال الثغرة في هجمات حقيقية تهدف إلى كتابة ملفات نصية عشوائية على الأنظمة المُستهدفة. حتى الآن، لا يُعرف نوع الجهة الفاعلة وراء هذه الهجمات.

ثغرة ثانية في منتجات إدارة دورة حياة المنتج

لم تتوقف CISA عند ثغرة Cisco، بل أضافت أيضاً الثغرة CVE-2026-12569 إلى كتالوج KEV. هذه الثغرة تتعلق بخلل في التحقق من صحة المدخلات (improper input validation) وتؤثر على منتجي Windchill وFlexPLM من شركة PTC.

كلا المنتجين من أنظمة إدارة دورة حياة المنتج (PLM) المُستخدمة على نطاق واسع في قطاعات التصنيع والهندسة والتجزئة والأزياء والمنتجات الاستهلاكية. الثغرة من نوع تنفيذ التعليمات البرمجية عن بُعد (RCE) وتُستغل عبر إلغاء تسلسل بيانات غير موثوقة.

• أفصحت PTC عن الثغرة في 18 يونيو ونشرت نشرة أمنية
• تتأثر جميع الإصدارات حتى 11.0 وإصدارات متعددة من الفروع 11.1 و11.2 و12.0 و12.1 و13.0
• الموعد النهائي للترقيع هو نفسه: 28 يونيو 2026

ماذا يجب أن تفعل المؤسسات الآن؟

المؤسسات الملتزمة بالتوجيه التشغيلي BOD 26-04 مُطالبة باتخاذ إجراء فوري: تطبيق التحديثات الأمنية المتاحة، أو تنفيذ إجراءات التخفيف الموصى بها من المورّد، أو التوقف عن استخدام المنتجات المذكورة قبل انتهاء المهلة.

الموعد النهائي القصير — 72 ساعة فقط مقارنةً بالمعتاد وهو أسبوعان إلى ثلاثة — يُشير إلى تقييم CISA بأن الخطر الفعلي مرتفع للغاية، خاصةً مع تأكيد الاستغلال النشط.

لماذا تُعدّ ثغرات SSRF خطيرة بشكل خاص؟

ثغرات Server-Side Request Forgery تسمح للمهاجم بإجبار الخادم على إرسال طلبات نيابةً عنه. في سياق Cisco Unified Communications Manager، يعني ذلك إمكانية الوصول إلى موارد داخلية أو كتابة ملفات على النظام دون الحاجة لأي بيانات اعتماد — مما يجعل الثغرة بوابة مثالية للتحركات الجانبية داخل الشبكة.

الأسئلة الشائعة

ما هي ثغرة CVE-2026-20230 وكيف تُستغل؟

هي ثغرة SSRF في Cisco Unified Communications Manager تسمح للمهاجم بتنفيذ طلبات HTTP مُعدّة خصيصاً عن بُعد ودون مصادقة، وقد رُصد استغلالها لكتابة ملفات عشوائية على الأنظمة المُستهدفة.

ما الموعد النهائي الذي حددته CISA للترقيع؟

يجب على الوكالات الفيدرالية الملتزمة بالتوجيه BOD 26-04 إتمام الترقيع قبل يوم الأحد 28 يونيو 2026، أي خلال 72 ساعة من الإعلان.

هل تتأثر منتجات أخرى غير Cisco؟

نعم، أضافت CISA أيضاً ثغرة CVE-2026-12569 في منتجي PTC Windchill وFlexPLM لإدارة دورة حياة المنتج، بنفس الموعد النهائي.

ماذا يجب أن تفعل المؤسسات التي تستخدم هذه المنتجات؟

تطبيق التصحيحات الأمنية فوراً، أو تنفيذ إجراءات التخفيف الموصى بها من Cisco وPTC، أو إيقاف استخدام المنتجات المتأثرة قبل الموعد النهائي.

لماذا المهلة قصيرة جداً مقارنةً بالمعتاد؟

المهلة القصيرة تعكس تقييم CISA بأن الخطر مرتفع للغاية بسبب تأكيد الاستغلال النشط في هجمات حقيقية، وليس مجرد وجود كود تجريبي.