← العودة إلى المدونة
موجز أمني 26 فبراير 2026 7 دقائق للقراءة

استغلال CVE-2026-20127 في Cisco SD-WAN منذ 2023 — اختراق CarGurus لـ 12 مليون — SLH تجنّد نساء للتصيد الصوتي

ثغرة تجاوز مصادقة بدرجة CVSS 10.0 في Cisco Catalyst SD-WAN تم استغلالها بشكل نشط منذ 2023. تؤكد CarGurus تعرض أكثر من 12.4 مليون مستخدم للاختراق من قبل ShinyHunters. مجموعة جرائم إلكترونية فائقة تدفع للنساء 1,000$ لكل مكالمة لاختراق مكاتب الدعم التقني بالهندسة الاجتماعية. بالإضافة إلى: SolarWinds تصحح أربع ثغرات حرجة لتنفيذ التعليمات البرمجية عن بُعد في Serv-U ومقاول دفاع يحصل على 87 شهراً لبيع ثغرات لروسيا.


حرج: تجاوز مصادقة Cisco SD-WAN (CVE-2026-20127)

CVSS 10.0 — مُستغل كثغرة يوم الصفر منذ 2023

كشفت Cisco عن ثغرة تجاوز مصادقة بأقصى درجة خطورة في Cisco Catalyst SD-WAN Controller (المعروف سابقاً بـ vSmart) وSD-WAN Manager (المعروف سابقاً بـ vManage). تسمح الثغرة للمهاجمين عن بُعد غير المصادق عليهم بتسجيل الدخول كمستخدم داخلي ذي صلاحيات عالية والتلاعب بنسيج SD-WAN بالكامل عبر NETCONF.

ما الذي حدث

تنبع الثغرة من آلية مصادقة نظراء معطلة. يستغلها المهاجمون لإضافة نظراء مزيفين إلى بيئة SD-WAN — حيث يحقنون أجهزة خبيثة تبدو شرعية ويمكنها توجيه حركة المرور عبر بنية تحتية يتحكم فيها المهاجم.

يتتبع فريق Cisco Talos النشاط باسم UAT-8616 وينسبه بثقة عالية إلى جهة تهديد عالية التطور. تُظهر القياسات عن بُعد أن الاستغلال يعود إلى 2023 على الأقل. قام الفاعل بالتصعيد إلى صلاحيات الجذر عن طريق تخفيض البرنامج الثابت لاستغلال ثغرة أقدم (CVE-2022-20775)، ثم استعادة النسخة الأصلية لتفادي الكشف.

تم تنسيق الإفصاح بين Cisco ومركز الأمن السيبراني الأسترالي (ACSC التابع لـ ASD) وCISA (التوجيه الطارئ 26-03) والسلطات البريطانية.

من المتأثر

الإجراءات الفورية

  1. التصحيح فوراً — أصدرت Cisco تحديثات طارئة
  2. تدقيق قوائم النظراء — التحقق من وجود نظراء مزيفين غير مصرح بهم في نسيج SD-WAN
  3. مراجعة سجل البرنامج الثابت — البحث عن تغييرات إصدار غير متوقعة (نمط تخفيض/ترقية)
  4. تحليل جنائي للشبكة — فحص حركة المرور بحثاً عن اتصالات بوحدات تحكم مجهولة
  5. افترض الاختراق إذا لم يتم التصحيح — تم استغلال هذا لأكثر من 3 سنوات

اختراق CarGurus: تعرض 12.4 مليون مستخدم

أكد سوق السيارات CarGurus حدوث اختراق بيانات أثر على أكثر من 12.4 مليون مستخدم. أعلنت مجموعة ShinyHunters مسؤوليتها، مشيرة إلى أنها استخرجت معلومات تعريف شخصية وبيانات مؤسسية داخلية.

يأتي هذا بعد هجوم ShinyHunters على Wynn Resorts، حيث سُرقت بيانات الموظفين — على الرغم من إزالة القائمة لاحقاً من موقع التسريب بعد مفاوضات ظاهرة.

البيانات المكشوفة

التأثير: إذا استخدمت أنت أو موظفوك CarGurus، راقب حملات التصيد التي تستغل البيانات المسروقة. من المتوقع حدوث هجمات حشو بيانات الاعتماد خلال أيام.


المجموعة الفائقة SLH تدفع 1,000$/مكالمة لتجنيد المتصيدين صوتياً

مجموعة الجرائم الإلكترونية الفائقة Scattered LAPSUS$ Hunters (SLH) — اندماج LAPSUS$ وScattered Spider وShinyHunters — تقوم الآن بتجنيد نساء بشكل نشط لتنفيذ هجمات التصيد الصوتي (vishing) ضد مكاتب الدعم التقني.

الهندسة الاجتماعية على نطاق واسع

وفقاً لاستخبارات التهديدات من Dataminr، تقدم SLH 500$–1,000$ لكل مكالمة مع نصوص مكتوبة مسبقاً. الاستراتيجية: الأصوات النسائية قد تحقق معدلات نجاح أعلى عند انتحال شخصية موظفات يتصلن بمكاتب الدعم لإعادة تعيين كلمات المرور أو تجاوز المصادقة متعددة العوامل.

لدى SLH تاريخ موثق في قصف طلبات MFA وتبديل شرائح SIM والهندسة الاجتماعية لمكاتب الدعم. حملة التجنيد هذه تشير إلى تصنيع الهندسة الاجتماعية — الانتقال من هجمات انتهازية إلى عمليات مراكز اتصال مدفوعة ومنظمة.

توصيات الدفاع


SolarWinds Serv-U: أربع ثغرات حرجة لتنفيذ التعليمات البرمجية عن بُعد

صححت SolarWinds أربع ثغرات حرجة في برنامج نقل الملفات Serv-U يمكن أن تسمح بتنفيذ التعليمات البرمجية عن بُعد. بينما تتطلب الثغرات صلاحيات إدارية، كان Serv-U منتجاً مُستهدفاً تاريخياً (تذكر هجوم سلسلة التوريد عام 2021).

لماذا يهم

تبقى أجهزة نقل الملفات المتجه الأول للوصول المبدئي لمجموعات برامج الفدية. MOVEit وGoAnywhere وCitrix ShareFile — والآن Serv-U مجدداً. إذا كنت تشغّل Serv-U، صحّح قبل أن ينزل كود الاستغلال حتماً.


التجسس الإلكتروني الصيني: اختراق عشرات شركات الاتصالات والوكالات الحكومية

عطّلت مجموعة استخبارات التهديدات من Google (GTIG) وMandiant والشركاء الدوليون حملة تجسس عالمية منسوبة إلى الفاعل الصيني UNC2814. كانت المجموعة نشطة منذ 2017 على الأقل، مستهدفة مؤسسات في 42 دولة.

استخدم المهاجمون استدعاءات API شرعية لخدمات SaaS لإخفاء حركة المرور الخبيثة، مما جعل الكشف صعباً للغاية. شملت الأهداف مزودي الاتصالات والوكالات الحكومية — أهداف كلاسيكية لجمع المعلومات الاستخبارية.


مقاول دفاع يحصل على 87 شهراً لبيع ثغرات لروسيا

حُكم على المدير التنفيذي السابق لمقاولات الدفاع الأمريكية Peter Williams بـ 87 شهراً في السجن الفيدرالي لبيع ثغرات إلكترونية لوسيط روسي. تؤكد القضية المخاطر المستمرة للتهديدات الداخلية في سلسلة توريد الدفاع.


ركن سلسلة التوريد: حزم NuGet خبيثة + مقابلات Next.js مزيفة

تم اكتشاف حملتين منفصلتين لسلسلة التوريد هذا الأسبوع:

فرق التطوير: دققوا في تبعيات NuGet الخاصة بكم وكونوا حذرين من أي مستودع مرتبط بمقابلات عمل غير مطلوبة.


UFP Technologies: شركة أجهزة طبية تتعرض لبرامج الفدية

كشفت شركة تصنيع الأجهزة الطبية الأمريكية UFP Technologies عن هجوم إلكتروني مع تأكيد سرقة البيانات وبرامج تشفير الملفات الخبيثة. يستمر قطاع الرعاية الصحية في الاستهداف بشكل غير متناسب — يعرف المهاجمون أن بيانات المرضى تفرض فديات عالية والضغط التنظيمي يفرض دفعات سريعة.


إجراءات الأولوية اليوم

  1. Cisco SD-WAN — تصحيح CVE-2026-20127 فوراً (CVSS 10.0، مُستغل منذ 2023)
  2. SolarWinds Serv-U — تطبيق تصحيحات RCE الحرجة
  3. تقوية مكاتب الدعم — حملة التصيد الصوتي لـ SLH نشطة ومتوسعة
  4. اختراق CarGurus — مراقبة حشو بيانات الاعتماد والتصيد باستخدام البيانات المسروقة
  5. سلسلة توريد المطورين — تدقيق حزم NuGet، الحذر من مستودعات المقابلات المزيفة
  6. الاتصالات/الحكومة — مراجعة مؤشرات UNC2814 إذا كنت في القطاعات المستهدفة

كيف تحميك Kensai

كشف Cisco SD-WAN — فحص CVE-2026-20127 والتكوينات الضعيفة

مراقبة سلسلة التوريد — تتبع الحزم الخبيثة عبر NuGet وnpm وPyPI

معالجة مدعومة بالذكاء الاصطناعي — احصل على تصحيحات، وليس مجرد تنبيهات. طلبات سحب مُولّدة تلقائياً لقاعدة الكود الخاصة بك.

الامتثال لـ NIS2 — تقارير باللغة الألمانية للمتطلبات التنظيمية

افحص بنيتك التحتية في 60 ثانية

أكثر من 332,000 ثغرة CVE مفهرسة. تصحيحات مولّدة بالذكاء الاصطناعي. أتمتة طلبات سحب GitHub.

ابدأ التجربة المجانية

ابقَ آمناً. ابقَ يقظاً.

🗡️ فريق أمان KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home