در دنیای امنیت سایبری، تجهیزات شبکه به عنوان "خط دفاع اول" شناخته می‌شوند. اما زمانی که این تجهیزات خود دارای حفره‌های امنیتی باشند، کل سازمان در معرض خطر قرار می‌گیرد. در تاریخ ۲۵ و ۲۶ ژوئن ۲۰۲۶، جامعه امنیت جهانی با موجی از گزارشات در مورد بهره‌برداری فعال از یک آسیب‌پذیری روز صفر (Zero-day) در تجهیزات Cisco Catalyst SD-WAN مواجه شد. این موضوع از آن جهت اهمیت دارد که هدف حمله، نه یک سیستم کاربر نهایی، بلکه "مدیریت شبکه" (SD-WAN Manager) است؛ جایی که کنترل کل ترافیک و پیکربندی شبکه در دست است.

خلاصه مدیریتی

آسیب‌پذیری شناسایی شده با شناسه CVE-2026-20245، یک نقص امنیتی بحرانی است که به مهاجمان اجازه می‌دهد با داشتن دسترسی‌های محدود (Authenticated Local Attacker)، سطح دسترسی خود را به Root ارتقا دهند. طبق گزارشات Mandiant، این حمله در شبکه‌های سطح ارائه‌دهنده (Provider Networks) مشاهده شده است. خطر اصلی این است که مهاجم پس از کسب دسترسی Root، می‌تواند حساب‌های کاربری جعلی ایجاد کرده و به صورت نامرئی در شبکه باقی بماند (Persistence)، که شناسایی آن برای تیم‌های SOC بسیار دشوار است.

معرفی تهدید و آسیب‌پذیری

آسیب‌پذیری CVE-2026-20245 در بخش مدیریت تجهیزات Cisco Catalyst SD-WAN رخ داده است. این نقص زمانی رخ می‌دهد که سیستم در پردازش فایل‌های ارسالی توسط کاربر دچار خطا شود. مهاجم با ارسال یک فایل دست‌کاری شده (Crafted File)، می‌تواند کد مخرب خود را در سطح هسته سیستم اجرا کند.

مشخصات فنی:

• شناسه: CVE-2026-20245

• امتیاز CVSS: ۷.۸ (High)

• نوع حمله: Privilege Escalation (ارتقای سطح دسترسی)

• شرط لازم: دسترسی محلی احراز هویت شده (Authenticated Local Access)

تحلیل فنی عمیق

از منظر فنی، این آسیب‌پذیری مربوط به نحوه مدیریت حافظه و پردازش ورودی‌ها در محیط لینوکسی که Cisco SD-WAN بر روی آن اجرا می‌شود است. مهاجم با بهره‌برداری از یک نقص در اعتبارسنجی فایل‌های ورودی، می‌تواند دستورات سیستمی را با привиلیج‌های بالا اجرا کند.

نکته تکان‌دهنده این است که این حمله به تنهایی عمل نمی‌کند. گزارش‌ها نشان می‌دهد که مهاجمان احتمالاً از آسیب‌پذیری‌های دیگری مانند CVE-2026-20127 یا CVE-2026-20182 برای ورود اولیه به شبکه استفاده کرده‌اند و سپس از CVE-2026-20245 برای تبدیل دسترسی معمولی به دسترسی مطلق (Root) استفاده نموده‌اند. این یک "زنجیره حمله" (Exploit Chain) کلاسیک است که در حملات APT (تهدیدات پیشرفته و مستمر) دیده می‌شود.

زنجیره حمله

روند نفوذ در این عملیات به شرح زیر است:

1. نفوذ اولیه (Initial Access): مهاجم از طریق یک آسیب‌پذیری مجزا یا مدارک سرقت شده، دسترسی محدودی به کنسول مدیریتی SD-WAN کسب می‌کند.

2. تحلیل محیط (Enumeration): شناسایی نسخه سیستم‌عامل و بررسی وجود آسیب‌پذیری CVE-2026-20245.

3. ارسال فایل مخرب (Exploitation): ارسال یک فایل crafted که باعث سرریز یا خطای پردازشی در سیستم می‌شود.

4. ارتقای سطح دسترسی (Privilege Escalation): اجرای کد در سطح Root و در اختیار گرفتن کامل کنترل سیستم‌عامل زیرساختی.

5. تثبیت دسترسی (Persistence): ایجاد حساب‌های کاربری Root جعلی برای بازگشت مجدد به سیستم حتی پس از تغییر رمزهای عبور.

6. تخلیه داده یا شنود (Exfiltration/Eavesdropping): دسترسی به تنظیمات شبکه، کلیدهای رمزنگاری و ترافیک عبوری.

جدول زمانی رویدادها

تکنیک‌های MITRE ATT&CK

این حمله را می‌توان بر اساس چارچوب MITRE به صورت زیر نقشه‌برداری کرد:

• T1068 (Exploitation for Privilege Escalation): استفاده از CVE-2026-20245 برای ارتقای دسترسی.

• T1136.001 (Create Account: Local Account): ایجاد حساب‌های Root جعلی برای ماندگاری در سیستم.

• T1078 (Valid Accounts): استفاده از دسترسی‌های احراز هویت شده برای شروع حمله.

• T1548 (Abuse Privilege Escalation Mechanism): سوءاستفاده از مکانیزم‌های سیستم‌عامل برای اجرای دستورات با سطح دسترسی بالا.

تأثیرات واقعی

تأثیر این حمله بسیار گسترده است زیرا SD-WAN Manager قلب تپنده شبکه است. اگر مهاجم به سطح Root دسترسی پیدا کند:

• تمام ترافیک شبکه در معرض شنود قرار می‌گیرد.

• پیکربندی‌های امنیتی (مانند Firewall rules) را می‌توان تغییر داد.

• قطع سرویس (DoS) در سطح گسترده برای کل سازمان یا مشتریان یک Provider امکان‌پذیر است.

تحلیل امنیتی

به عنوان یک تحلیلگر تهدید، مشاهده می‌کنیم که مهاجمان دیگر به دنبال حملات ساده نیستند. آن‌ها به سمت "Targeted Infrastructure Attacks" حرکت کرده‌اند. هدف قرار دادن لایه‌های مدیریتی شبکه (Management Plane) نشان می‌دهد که مهاجمان به دنبال کنترل کامل (Full Control) هستند نه فقط سرقت داده. استفاده از زنجیره‌ای از CVEها نشان‌دهنده سطح بالای مهارت مهاجمان است که احتمالاً متعلق به گروه‌های Nation-State یا باندهای سازمان‌یافته سایبری هستند.

راهکارهای دفاعی

برای مقابله با این تهدید، اقدامات زیر ضروری است:

1. به‌روزرسانی فوری: نصب آخرین پچ‌های امنیتی منتشر شده توسط سیسکو برای Catalyst SD-WAN.

2. بررسی حساب‌های کاربری: بازبینی تمامی حساب‌های کاربری با سطح دسترسی Admin و Root و حذف حساب‌های ناشناخته.

3. محدود کردن دسترسی: پیاده‌سازی اصل "Least Privilege". دسترسی به کنسول مدیریتی باید تنها از طریق Jump Hostهای امن و با احراز هویت چندعاملی (MFA) باشد.

4. مانیتورینگ فایل‌ها: نظارت بر تغییرات در دایرکتوری‌های سیستمی و ایجاد فایل‌های مشکوک در مسیرهای مدیریتی.

توصیه برای SOC Teams

تیم‌های عملیات امنیت باید به دنبال موارد زیر در Logها باشند:

• لاگ‌های مربوط به ورودهای غیرمعمول در ساعات غیرکاری به کنسول SD-WAN.

• خطاهای تکرار شونده در پردازش فایل‌ها در سیستم‌عامل زیرساختی.

• ایجاد کاربر جدید در سطح Root که با فرآیندهای رسمی تغییر مدیریت (Change Management) همخوانی ندارد.

• استفاده از ابزارهای EDR برای شناسایی پروسه‌های مشکوک که توسط کاربرهای سطح پایین اما با دسترسی Root اجرا می‌شوند.

توصیه برای مدیران فناوری

مدیران باید درک کنند که "اعتماد به تجهیزات شبکه" یک ریسک است. استراتژی Zero Trust را نه تنها برای کاربران، بلکه برای تجهیزات شبکه نیز پیاده کنید. ایزولاسیون کامل لایه مدیریت (Management Plane) از لایه داده (Data Plane) حیاتی است تا در صورت نفوذ به یک بخش، کل شبکه سقوط نکد.

جمع‌بندی نهایی

حمله Zero-day در Cisco SD-WAN یک یادآوری تلخ از شکنندگی زیرساخت‌های مدرن است. CVE-2026-20245 تنها یک باگ نیست، بلکه دریچه‌ای برای نفوذ عمیق در قلب شبکه‌های سازمانی است. با توجه به روند حملات در سال ۲۰۲۶، انتظار می‌رود حملات زنجیره‌ای (Chained Attacks) افزایش یابد. تنها راه نجات، ترکیبی از به‌روزرسانی سریع، مانیتورینگ پیشرفته و پذیرش مدل امنیتی Zero Trust است.