← العودة إلى المدونة
نشرة أمنية 26 فبراير 2026 7 دقائق قراءة

ثغرة Cisco SD-WAN CVE-2026-20127 مُستغلة منذ 2023 — اختراق CarGurus يشمل 12 مليون مستخدم — SLH تجنّد نساءً لهجمات التصيّد الصوتي

ثغرة تجاوز مصادقة بدرجة CVSS 10.0 في Cisco Catalyst SD-WAN تم استغلالها بنشاط منذ 2023. تأكيد اختراق CarGurus يكشف عن اختراق بيانات 12.4 مليون مستخدم على يد مجموعة ShinyHunters. مجموعة جرائم إلكترونية ضخمة تدفع للنساء 1000 دولار للمكالمة الواحدة لشن هجمات الهندسة الاجتماعية على مكاتب الدعم الفني لتكنولوجيا المعلومات. بالإضافة إلى: إصلاحات SolarWinds لأربع ثغرات RCE حرجة في Serv-U ومقاول دفاع يُحكم عليه بـ 87 شهرًا لبيع ثغرات إلى روسيا.


حرج: ثغرة تجاوز المصادقة في Cisco SD-WAN (CVE-2026-20127)

CVSS 10.0 — تم استغلالها كثغرة يوم صفر منذ 2023

كشفت Cisco عن ثغرة تجاوز مصادقة بأقصى درجات الخطورة في Cisco Catalyst SD-WAN Controller (المعروف سابقًا بـ vSmart) و SD-WAN Manager (المعروف سابقًا بـ vManage). تسمح هذه الثغرة للمهاجمين عن بُعد وغير المصادق عليهم بتسجيل الدخول كمستخدم داخلي بصلاحيات عالية والتلاعب ببنية SD-WAN بأكملها عبر NETCONF.

ما الذي حدث

تنبع الثغرة من آلية مصادقة نظير (peering authentication) معطّلة. يستغل المهاجمون هذه الثغرة لإضافة أنظمة نظير مارقة إلى بيئة SD-WAN — مما يسمح فعليًا بحقن أجهزة خبيثة تبدو شرعية ويمكنها توجيه حركة المرور عبر بنية تحتية يسيطر عليها المهاجم.

يتتبع Cisco Talos هذا النشاط تحت اسم UAT-8616 وينسبه بثقة عالية إلى جهة تهديد بالغة التطور. تُظهر بيانات القياس عن بعد استغلالًا يعود على الأقل إلى عام 2023. قامت الجهة المهاجمة بالتصعيد إلى صلاحيات الجذر (root) عن طريق تخفيض إصدار البرنامج الثابت لاستغلال ثغرة قديمة (CVE-2022-20775)، ثم استعادة الإصدار الأصلي للتهرب من الكشف.

تم تنسيق الكشف بين Cisco ومركز الأمن السيبراني الأسترالي (ASD's ACSC) ووكالة CISA (التوجيه الطارئ 26-03) والسلطات البريطانية.

من هم المتأثرون

الإجراءات الفورية

  1. تطبيق التحديثات فورًا — أصدرت Cisco تحديثات طارئة
  2. مراجعة قوائم الأنظمة النظيرة — تحقق من وجود أنظمة نظيرة مارقة غير مصرح بها في بنية SD-WAN الخاصة بك
  3. مراجعة سجل البرنامج الثابت — ابحث عن تغييرات غير متوقعة في الإصدارات (نمط تخفيض/ترقية)
  4. التحليل الجنائي للشبكة — فحص حركة المرور بحثًا عن اتصالات بوحدات تحكم غير معروفة
  5. افترض حدوث اختراق إذا لم يتم التحديث — تم استغلال هذه الثغرة لأكثر من 3 سنوات

اختراق CarGurus: تعرض 12.4 مليون مستخدم للخطر

أكدت منصة السيارات CarGurus حدوث اختراق للبيانات أثر على أكثر من 12.4 مليون مستخدم. ادعت مجموعة ShinyHunters المسؤولية، مشيرة إلى أنهم قاموا بتسريب معلومات تعريف شخصية وبيانات داخلية للشركة.

يأتي هذا في أعقاب هجوم ShinyHunters على Wynn Resorts، حيث تم سرقة بيانات الموظفين — على الرغم من إزالة القائمة لاحقًا من موقع التسريب بعد مفاوضات ظاهرة.

البيانات المكشوفة

التأثير: إذا كنت أنت أو موظفوك تستخدمون CarGurus، راقب حملات التصيد الاحتيالي التي تستفيد من البيانات المسروقة. يُتوقع شن هجمات حشو الاعتماد (credential stuffing) في غضون أيام.


مجموعة SLH الضخمة تدفع 1000 دولار/مكالمة لتجنيد مشاركات في التصيّد الصوتي

مجموعة الجرائم الإلكترونية الضخمة Scattered LAPSUS$ Hunters (SLH) — التي نتجت عن اندماج LAPSUS$ و Scattered Spider و ShinyHunters — تقوم الآن بتجنيد النساء بنشاط لتنفيذ هجمات التصيد الصوتي (vishing) ضد مكاتب دعم تكنولوجيا المعلومات.

الهندسة الاجتماعية على نطاق واسع

وفقًا لاستخبارات التهديدات من Dataminr، تعرض SLH من 500 إلى 1000 دولار لكل مكالمة بالإضافة إلى نصوص مكتوبة مسبقًا. الاستراتيجية: قد تتمتع الأصوات النسائية بمعدلات نجاح أعلى عند انتحال شخصية الموظفين الذين يتصلون بمكاتب المساعدة لإعادة تعيين كلمات المرور أو تجاوز المصادقة متعددة العوامل.

لدى SLH تاريخ موثق في تفجير طلبات MFA، وتبديل بطاقات SIM، والهندسة الاجتماعية لمكاتب المساعدة. تشير حملة التجنيد هذه إلى تصنيع الهندسة الاجتماعية — الانتقال من الهجمات الانتهازية إلى عمليات مركز اتصال منظمة مدفوعة الأجر.

توصيات الدفاع


SolarWinds Serv-U: أربع ثغرات RCE حرجة

قامت SolarWinds بإصلاح أربع ثغرات حرجة في برنامج نقل الملفات Serv-U يمكن أن تسمح بتنفيذ تعليمات برمجية عن بُعد. على الرغم من أن الثغرات تتطلب امتيازات إدارية، فإن Serv-U كان منتجًا مستهدفًا تاريخيًا (تذكر هجوم سلسلة التوريد في 2021).

لماذا هذا مهم

لا تزال أجهزة نقل الملفات تمثل ناقل الوصول الأولي رقم 1 لمجموعات برامج الفدية. MOVEit و GoAnywhere و Citrix ShareFile — والآن Serv-U مرة أخرى. إذا كنت تشغّل Serv-U، قم بتطبيق التحديث قبل أن يتم إسقاط كود الاستغلال حتمًا.


التجسس الإلكتروني الصيني: اختراق عشرات شركات الاتصالات والوكالات الحكومية

قامت مجموعة Google لاستخبارات التهديدات (GTIG) و Mandiant والشركاء الدوليون بتعطيل حملة تجسس عالمية منسوبة إلى الجهة الصينية المهددة UNC2814. المجموعة نشطة منذ عام 2017 على الأقل، مستهدفة منظمات عبر 42 دولة.

استخدم المهاجمون استدعاءات API شرعية من SaaS لإخفاء حركة المرور الخبيثة، مما جعل الكشف صعبًا للغاية. شملت الأهداف مزودي خدمات الاتصالات والوكالات الحكومية — أهداف جمع استخبارات كلاسيكية.


مقاول دفاع يُحكم عليه بـ 87 شهرًا لبيع ثغرات إلى روسيا

حُكم على المدير التنفيذي السابق لمقاول الدفاع الأمريكي بيتر ويليامز بـ 87 شهرًا في السجن الفيدرالي لبيعه ثغرات إلكترونية إلى وسيط روسي. تؤكد القضية المخاطر المستمرة للتهديدات الداخلية في سلسلة توريد الدفاع.


زاوية سلسلة التوريد: حزم NuGet خبيثة + مقابلات Next.js مزيفة

حملتان منفصلتان لسلسلة التوريد تم اكتشافهما هذا الأسبوع:

فرق المطورين: راجعوا تبعيات NuGet الخاصة بكم وكونوا حذرين من أي مستودع مرتبط من مقابلات عمل غير مرغوب فيها.


UFP Technologies: شركة أجهزة طبية تتعرض لبرامج الفدية

كشفت شركة تصنيع الأجهزة الطبية الأمريكية UFP Technologies عن هجوم إلكتروني مع تأكيد سرقة بيانات وبرامج تشفير الملفات الخبيثة. يستمر قطاع الرعاية الصحية في التعرض للاستهداف بشكل غير متناسب — يعلم المهاجمون أن بيانات المرضى تحقق فدية متميزة والضغط التنظيمي يجبر على الدفع السريع.


إجراءات الأولوية اليوم

  1. Cisco SD-WAN — تطبيق تحديث CVE-2026-20127 فورًا (CVSS 10.0، مُستغل منذ 2023)
  2. SolarWinds Serv-U — تطبيق إصلاحات RCE الحرجة
  3. تقوية مكتب المساعدة — حملة التصيد الصوتي من SLH نشطة وتتوسع
  4. اختراق CarGurus — راقب هجمات حشو الاعتماد والتصيد باستخدام البيانات المسروقة
  5. سلسلة توريد المطورين — مراجعة حزم NuGet، احذر من مستودعات المقابلات المزيفة
  6. الاتصالات/الحكومة — مراجعة مؤشرات UNC2814 إذا كنت في القطاعات المستهدفة

كيف تحميك KENSAI

كشف Cisco SD-WAN — فحص CVE-2026-20127 والتكوينات الضعيفة

مراقبة سلسلة التوريد — تتبع الحزم الخبيثة عبر NuGet و npm و PyPI

المعالجة المدعومة بالذكاء الاصطناعي — احصل على إصلاحات، وليس مجرد تنبيهات. طلبات سحب تلقائية لقاعدة التعليمات البرمجية الخاصة بك.

الامتثال لـ NIS2 — تقارير بالألمانية للمتطلبات التنظيمية

افحص بنيتك التحتية في 60 ثانية

أكثر من 332,000 CVE مفهرسة. إصلاحات مدعومة بالذكاء الاصطناعي. أتمتة طلبات السحب على GitHub.

ابدأ النسخة التجريبية المجانية

ابقَ آمنًا. ابقَ يقظًا.

🗡️ فريق KENSAI الأمني

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home