كل المقالات
الأمن السيبراني

ثغرة CVE-2026-20230 في Cisco Unified CM تُستغل حالياً في هجمات نشطة

فاطمة الزهراء24 يونيو 2026 في 3:51 ص4 دقيقة للقراءة
ثغرة CVE-2026-20230 في Cisco Unified CM تُستغل حالياً في هجمات نشطة

أبرز النقاط

  • ثغرة CVE-2026-20230 من نوع SSRF تتيح للمهاجمين الحصول على صلاحيات root دون مصادقة
  • الهجمات بدأت من عنوان IP واحد وتستخدم حمولات file:// لكتابة ملفات على النظام
  • سيسكو أصدرت تحديثات أمنية في 3 يونيو والتصحيح الفوري ضروري

بدأ مهاجمون باستغلال ثغرة أمنية عالية الخطورة في خوادم Cisco Unified Communications Manager، وهي الثغرة المُعرَّفة بـ CVE-2026-20230 التي تتيح للمهاجم غير المُصادَق الحصول على صلاحيات root الكاملة على الجهاز المستهدف. الثغرة من نوع Server-Side Request Forgery (SSRF) وحصلت على تصنيف CVSS يبلغ 8.6 من 10، مما يضعها في خانة الثغرات الحرجة التي تستدعي تصحيحاً فورياً.

ما طبيعة الثغرة وكيف تعمل؟

تكمن المشكلة في آلية التحقق من مدخلات طلبات HTTP داخل مكوّن WebDialer في Cisco Unified CM. يستطيع المهاجم إرسال طلب HTTP مُصمَّم خصيصاً يُجبر التطبيق على كتابة ملفات عشوائية في نظام التشغيل الأساسي باستخدام مسارات file:// URI. وبالتحكم في مسار الملف ومحتواه، يتمكن المهاجم من تنفيذ شيفرة عن بُعد والوصول إلى صلاحيات root.

أوضحت سيسكو في نشرتها الأمنية أن الثغرة تؤثر على كل من Cisco Unified Communications Manager وCisco Unified CM Session Management Edition، وأن الاستغلال الناجح يمكّن المهاجم من كتابة ملفات تُستخدم لاحقاً لرفع الصلاحيات إلى مستوى root.

8.6
درجة خطورة الثغرة على مقياس CVSS من 10

من يستغل الثغرة وكيف؟

رصدت شركة Defused للاستخبارات الأمنية بداية الاستغلال الفعلي خلال عطلة نهاية الأسبوع الماضي. وأشارت الشركة إلى أن الهجمات تنطلق من عنوان IP واحد، وتستخدم حمولات file:// مُحكمة البناء لإنشاء ملفات على الأجهزة المستهدفة.

اللافت أن الهجمات المرصودة حتى الآن تبدو استطلاعية بطبيعتها، إذ يحاول المهاجمون كتابة ملف نصي باسم /tmp/cve-2026-20230-test.txt لتحديد الأجهزة المعرضة للإصابة. لكن الثغرة قادرة على أكثر من ذلك بكثير: يمكن استغلالها لزرع webshells والسيطرة الكاملة على الخادم.

رسم توضيحي يُظهر مسار استغلال ثغرة SSRF للوصول إلى صلاحيات root
رسم توضيحي يُظهر مسار استغلال ثغرة SSRF للوصول إلى صلاحيات root

ما المتطلبات التقنية للاستغلال؟

نشرت شركة SSD Secure التي اكتشفت الثغرة أصلاً تحليلاً تقنياً مفصلاً بعد بدء الاستغلال الفعلي. وكشف الباحثون أن الاستغلال يتطلب معرفة hostname الجهاز المستهدف قبل تنفيذ هجوم كتابة الملفات، لكنهم أثبتوا إمكانية استخراج هذه المعلومة من الجهاز نفسه قبل الهجوم.

  • لا تتطلب الثغرة أي مصادقة مسبقة
  • يمكن استغلالها عن بُعد عبر طلبات HTTP
  • تتيح كتابة ملفات عشوائية في نظام التشغيل
  • تؤدي إلى تنفيذ شيفرة عن بُعد وصلاحيات root

ما الإجراءات الواجب اتخاذها الآن؟

أصدرت سيسكو تحديثات أمنية في 3 يونيو 2026، أي قبل ثلاثة أسابيع من بدء الاستغلال الفعلي. المؤسسات التي لم تُطبّق التحديث بعد في وضع حرج، خاصة مع نشر التفاصيل التقنية الكاملة وإثبات مفهوم الاستغلال (PoC).

الجدير بالذكر أن الثغرة لم تُدرج بعد في قائمة CISA للثغرات المستغلة فعلياً (KEV)، لكن إدراجها مسألة وقت بعد تأكيد الاستغلال النشط.

  • طبّق تحديثات سيسكو الأمنية فوراً
  • راقب السجلات بحثاً عن طلبات HTTP مشبوهة لمكوّن WebDialer
  • افحص وجود ملفات غير معتادة في مسار /tmp/
  • راجع صلاحيات الوصول لخوادم Unified CM من الإنترنت
ℹ️

رأي Logicity

نشر إثبات مفهوم الاستغلال بعد رصد هجمات نشطة قرار مثير للجدل. من جهة يُسرّع وعي المدافعين، ومن جهة أخرى يُسلّح مهاجمين جدداً. النمط الاستطلاعي الحالي يشير إلى أن موجة الاستغلال الحقيقية لم تبدأ بعد، وأن الأيام القادمة ستشهد تصعيداً ملحوظاً يستهدف المؤسسات المتأخرة في التصحيح.

لماذا تُعد هذه الثغرة خطيرة بشكل خاص؟

تُشغّل أكثر من 350 ألف مؤسسة حول العالم حلول Cisco Unified Communications Manager، وتستحوذ سيسكو على أكثر من 70% من سوق الاتصالات الموحدة للمؤسسات. هذا الانتشار الواسع يجعل أي ثغرة في هذه المنصة هدفاً مغرياً للمهاجمين.

الأخطر أن خوادم الاتصالات الموحدة عادة ما تتمتع بعلاقات ثقة عميقة مع الأنظمة الداخلية، مما يجعلها نقطة انطلاق مثالية للتحرك الجانبي داخل الشبكة بعد الاختراق الأولي.

350,000+
عدد المؤسسات التي تستخدم Cisco Unified CM عالمياً

الأسئلة الشائعة

هل توجد حلول بديلة للتحديث الأمني؟

لا، أكدت سيسكو أنه لا توجد حلول بديلة (workarounds) لهذه الثغرة، والتحديث الأمني هو الحل الوحيد.

كيف أعرف إن كان نظامي مستهدفاً؟

ابحث في سجلات الخادم عن طلبات HTTP غير معتادة لمكوّن WebDialer، وافحص وجود ملفات باسم cve-2026-20230-test.txt في مسار /tmp/.

ما الإصدارات المتأثرة من Cisco Unified CM؟

تؤثر الثغرة على Cisco Unified Communications Manager وCisco Unified CM Session Management Edition. راجع نشرة سيسكو الأمنية للإصدارات المحددة والتحديثات المتاحة.

هل يمكن استغلال الثغرة من الإنترنت مباشرة؟

نعم، الثغرة قابلة للاستغلال عن بُعد دون مصادقة، لذا يجب مراجعة ما إذا كانت خوادم Unified CM مكشوفة للإنترنت.

ℹ️

هل تحتاج مساعدة في التطبيق؟

إذا كنت تدير بنية تحتية تعتمد على Cisco Unified CM وتحتاج دعماً في تقييم تعرضك لهذه الثغرة أو تطبيق التحديثات الأمنية، تواصل مع فريق Logicity للحصول على استشارة متخصصة.

ف

فاطمة الزهراء

كاتبة تقنية متخصصة في الذكاء الاصطناعي

أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.

مقالات ذات صلة

اختراق ضخم في تكساس يكشف بيانات أكثر من 3 ملايين رخصة قيادة
الأمن السيبراني·4 د

اختراق ضخم في تكساس يكشف بيانات أكثر من 3 ملايين رخصة قيادة

كشفت إدارة الحدائق والحياة البرية في ولاية تكساس الأمريكية (TPWD) عن اختراق بيانات ضخم طال نظام التراخيص الذي يديره مورد خارجي، ما أدى إلى تسريب معلومات شخصية حساسة لأكثر من 3 ملايين شخص. يُعدّ هذا ال

تحديثات Windows يونيو 2026 تُظهر أسماء ملفات مبهمة عند الحذف من سلة المحذوفات
الأمن السيبراني·4 د

تحديثات Windows يونيو 2026 تُظهر أسماء ملفات مبهمة عند الحذف من سلة المحذوفات

أكدت Microsoft وجود خلل في سلة المحذوفات يُربك المستخدمين بعد تثبيت تحديثات يونيو 2026 الأمنية، إذ تعرض نافذة تأكيد الحذف اسماً داخلياً غير مفهوم بدلاً من اسم الملف الأصلي. المشكلة تمتد لتشمل كل إصدار

ثغرة حرجة في Splunk Enterprise: CISA تأمر بالتحديث خلال أيام وسط هجمات نشطة
الأمن السيبراني·4 د

ثغرة حرجة في Splunk Enterprise: CISA تأمر بالتحديث خلال أيام وسط هجمات نشطة

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أمراً عاجلاً للوكالات الفيدرالية بتحديث أنظمة Splunk Enterprise قبل يوم الأحد المقبل، وذلك بعد رصد استغلال نشط لثغرة حرجة تتيح للمهاجمي

عملية Endgame تُطهّر 15 ألف موقع WordPress من برمجية SocGholish الخبيثة
الأمن السيبراني·5 د

عملية Endgame تُطهّر 15 ألف موقع WordPress من برمجية SocGholish الخبيثة

في ضربة استباقية موجّهة ضد البنية التحتية للجريمة السيبرانية، أعلنت أجهزة إنفاذ القانون الدولية عن تطهير ما يقارب 15,000 موقع WordPress من برمجية SocGholish الخبيثة، وإسقاط أكثر من 100 خادم مرتبط بعصا

اقرأ أيضاً

HaloBraid تجمع 7 ملايين دولار لأتمتة تصفيف الشعر المضفر بالروبوتات
التقنية الرائجة·4 د

HaloBraid تجمع 7 ملايين دولار لأتمتة تصفيف الشعر المضفر بالروبوتات

أربعة أيام كاملة قضتها يينكا أوغونبيي وهي تحاول تضفير شعرها بمفردها في شقتها اللندنية خلال إغلاقات جائحة كوفيد-19. تلك التجربة المُرهقة لم تكن مجرد ذكرى عابرة، بل تحولت إلى شرارة أطلقت شركة ناشئة طموح

فاطمة الزهراء·
هواتف سامسونج تتيح الآن تخزين جواز السفر للمرور السريع في المطارات الأمريكية
الحيل والحلول·5 د

هواتف سامسونج تتيح الآن تخزين جواز السفر للمرور السريع في المطارات الأمريكية

أعلنت سامسونج عن شراكة جديدة مع شركة التحقق من الهوية CLEAR تتيح لمستخدمي هواتف Galaxy تخزين نسخة رقمية موثقة من جواز السفر الأمريكي داخل تطبيق Samsung Wallet. هذه الميزة، المسماة Samsung ID with CLEA

فاطمة الزهراء·
عروض Prime Day 2026 على الرام: آخر فرصة لشراء DDR5 و DDR4 قبل موجة الغلاء
4 د

عروض Prime Day 2026 على الرام: آخر فرصة لشراء DDR5 و DDR4 قبل موجة الغلاء

تشهد سوق ذاكرة الوصول العشوائي (RAM) ضغوطاً غير مسبوقة مع اقتراب Prime Day 2026، إذ تتسابق مراكز بيانات الذكاء الاصطناعي على استنزاف المخزون العالمي من شرائح DRAM، ما يدفع الأسعار صعوداً حاداً. التوقع

فاطمة الزهراء·