Analysis
MARKET SIGNAL:

ثغرة Cisco Unified CM تضع تعرض WebDialer تحت ضغط التصحيح

موجز التحرير

نشرت Cisco إرشادات للإصدارات المصححة الخاصة بثغرة حرجة في Unified Communications Manager يمكن أن تتيح للمهاجمين الحصول على صلاحيات الجذر عندما تكون WebDialer مفعلة. يدرك فريق Cisco PSIRT وجود كود إثبات مفهوم عام للثغرة CVE-2026-20230، لكنه لم يجد دليلاً على استغلال نشط أو استهداف. الاختبار الفوري هو ما إذا كان المسؤولون سيصححون Unified CM أو يعطلون WebDialer قبل أن يتحول كود إثبات المفهوم إلى تعرض أوسع.

تمت المراجعة مقابل مواد المصدرتحرير مكتب الأمن السيبراني في SendTech Times
ثغرة Cisco Unified CM تضع تعرض WebDialer تحت ضغط التصحيح
مصدر الصورة: BleepingComputer

تصحيح Cisco يحول Unified CM إلى اختبار تعرض WebDialer

نشرت Cisco إرشادات للإصدارات المصححة الخاصة بثغرة حرجة في Unified Communications Manager (Unified CM) يمكن أن تتيح للمهاجمين الحصول على صلاحيات الجذر على الأنظمة المتأثرة عندما تكون WebDialer مفعلة. ويعد Unified CM، المعروف سابقاً باسم Cisco CallManager، نظام التحكم المركزي لأنظمة هاتفية Cisco IP، إذ يتعامل مع إدارة الأجهزة وتوجيه المكالمات وميزات الاتصالات الهاتفية.

تُتبع الثغرة باسم CVE-2026-20230 ويمكن استغلالها عن بُعد من جانب مهاجمين بلا امتيازات عبر هجمات تزوير طلبات من جانب الخادم منخفضة التعقيد (SSRF). وSSRF هو مسار هجوم يدفع نظاماً من جانب الخادم إلى إرسال طلب أو معالجته بطريقة يتحكم بها المهاجم.

قالت Cisco إن مهاجماً يمكنه استغلال الثغرة عبر إرسال طلب HTTP مُعد إلى جهاز متأثر. وقد يتيح الاستغلال الناجح للمهاجم كتابة ملفات إلى نظام التشغيل الأساسي يمكن استخدامها لاحقاً لرفع الامتيازات إلى مستوى الجذر.

كود إثبات المفهوم العام يرفع ضغط التصحيح

منحت Cisco التنبيه تصنيف تأثير أمني (SIR) عند مستوى Critical بدلاً من High لأن الاستغلال قد يؤدي إلى تصعيد امتيازات على مستوى الجذر. ويدرك فريق الاستجابة لحوادث أمن المنتجات لدى Cisco (PSIRT) وجود كود إثبات مفهوم عام للثغرة CVE-2026-20230، لكنه لم يجد دليلاً على استغلال نشط أو استهداف.

التعرض أضيق من خطر خدمة مفعلة افتراضياً. فالثغرة تؤثر فقط في الأنظمة التي تكون فيها خدمة WebDialer مفعلة، بينما تكون WebDialer معطلة افتراضياً. ويمكن للمسؤولين التحقق من حالة الخدمة عبر Cisco Unified CM Administration وCisco Unified Serviceability وقائمة CTI Services ضمن Control Center - Feature Services.

قالت Cisco إنه لا توجد حلول التفافية للثغرة، لكن يمكن تعطيل WebDialer كإجراء تخفيف مؤقت إلى حين تطبيق إصدار مصحح. وتدرج Cisco الإصدار 14SU6 كأول إصدار مصحح لـ Unified CM 14. أما بالنسبة إلى Unified CM 15، فتدرج Cisco الإصدار 15SU5 المقرر في سبتمبر 2026 أو تصحيح COP خاصاً بالإصدار.

تاريخ تصحيحات Cisco يبقي الخطر مرئياً

صححت Cisco في يناير ثغرة حرجة أخرى في Unified CM، وهي CVE-2026-20045، بعد استغلال نشط كثغرة يوم صفر في هجمات تنفيذ أوامر عن بُعد. كما أزالت سابقاً حساباً خلفياً في Unified CM كان يسمح لمهاجمين عن بُعد بتسجيل الدخول إلى الأجهزة غير المصححة بصلاحيات الجذر، وصححت CVE-2024-20253، وهي ثغرة أخرى تتيح الوصول إلى الجذر.

خلال السنوات الخمس الماضية، صنفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) 91 ثغرة في Cisco على أنها مستغلة بنشاط في البيئة الفعلية، من بينها ست ثغرات استخدمتها عمليات فدية. والإشارة التالية هي ما إذا كانت عمليات نشر Unified CM المكشوفة ستُصحح أو سيُعطل WebDialer قبل أن يغير كود الاستغلال العام مستوى الخطر.

شارك هذا المقال
inXf

مقالات ذات صلة

المزيد
تحذير CISA بشأن WebLogic يحول تأخر تصحيحات Oracle إلى اختبار تعرض
الأمن السيبراني

تحذير CISA بشأن WebLogic يحول تأخر تصحيحات Oracle إلى اختبار تعرض

أمرت CISA الوكالات الفيدرالية الأمريكية بتأمين أنظمة Oracle WebLogic Server المتأثرة بالثغرة CVE-2024-21182 بعد رصد استغلال نشط. ترصد Shodan أكثر من 1,592 خادماً مكشوفاً ومعرضاً للثغرة، منها 961 تعمل بالإصدار 12.2.1.4.0 و631 تعمل بالإصدار 14.1.1.0.0. الاختبار الفوري هو ما إذا كانت الجهات العامة والخاصة ستطبق إصلاحات Oracle أو تزيل الأنظمة المكشوفة عندما لا تتوفر وسائل تخفيف.

أداة فدية مبنية بالذكاء الاصطناعي تجعل تجاوز أنظمة الكشف مساراً أسرع للجريمة السيبرانية
الأمن السيبراني

أداة فدية مبنية بالذكاء الاصطناعي تجعل تجاوز أنظمة الكشف مساراً أسرع للجريمة السيبرانية

اعتمد ممثل تهديد مرتبط ببرمجيات الفدية أداة مبنية بالذكاء الاصطناعي لاكتشاف Active Directory وتجاوز أنظمة الكشف والاستجابة عند نقاط النهاية. وجدت Sophos أن وكلاء Cursor وClaude Opus ساعدوا في التطوير، مع اختبار ما يقارب 80 وحدة ضد أكثر من 70 تقنية. الاختبار العملي هو ما إذا كان المدافعون يستطيعون تقصير دورات التحقق مع تسريع الذكاء الاصطناعي انتقال الأبحاث الهجومية إلى مكونات برمجية خبيثة قابلة للاستخدام.

البرمجة بالذكاء الاصطناعي تجعل المطورين هدفاً سيبرانياً عالي القيمة
الأمن السيبراني

البرمجة بالذكاء الاصطناعي تجعل المطورين هدفاً سيبرانياً عالي القيمة

يشير تحليل نشره موقع @IT الياباني إلى أن المهاجمين يستهدفون المطورين بشكل متزايد لأن أدوات البرمجة بالذكاء الاصطناعي والبرمجيات مفتوحة المصدر وخطوط CI/CD والخدمات السحابية تجمع حولهم صلاحيات وبيانات اعتماد عالية القيمة.

اختراق Injective SDK على npm يكشف خطر سرقة مفاتيح المحافظ
الأمن السيبراني

اختراق Injective SDK على npm يكشف خطر سرقة مفاتيح المحافظ

قالت Socket وOx Security وStepSecurity إنها رصدت شيفرة لسرقة مفاتيح المحافظ في حزمة @injectivelabs/sdk-ts على npm بالإصدار 1.20.21 بعد اختراق حساب مساهم في Injective Labs. وقالت Socket إن الإصدار الخبيث نزل 310 مرات قبل وضع علامة deprecation عليه، بينما أحصت Ox Security 87 اعتمادا مباشرا ووصفت عدد تنزيلات تراكميا من ست خانات عبر الحزم المعتمدة.

ثغرة Bad Epoll في Linux تصل إلى Android من دون جدول تصحيح عام
الأمن السيبراني

ثغرة Bad Epoll في Linux تصل إلى Android من دون جدول تصحيح عام

تكشف ثغرة في نواة Linux مسجلة باسم CVE-2026-46242 مسارا قد يتيح لمستخدم محلي غير مميز الحصول على صلاحيات root على أنظمة Linux، وقد تكون قابلة للوصول من سياقات Android أو صندوق عزل Chrome، لكن المواد العامة لم تعرض جدول تصحيح مفصلا لكل توزيعة.

استغلال Check Point VPN يضع وصول IKEv1 القديم تحت ضغط مخاطر الفدية
الأمن السيبراني

استغلال Check Point VPN يضع وصول IKEv1 القديم تحت ضغط مخاطر الفدية

يتم استغلال ثغرة حرجة في Check Point VPN، تحمل المعرّف CVE-2026-50751، ضد إعدادات remote access القديمة عبر IKEv1، مع ارتباط إحدى الحالات بجهة تابعة لبرمجية الفدية Qilin والكشف أيضاً عن مشكلة VPN ثانية ذات صلة.

التالي

المزيد من الأخبار

كل الأخبار
معاملات Regions Bank الرقمية تصل إلى 80% بعد ترقية الهاتف المحمولالتقنية المالية والمدفوعات الرقمية19 يوليو 2026معاملات Regions Bank الرقمية تصل إلى 80% بعد ترقية الهاتف المحمولذكرت PYMNTS أن مواد الربع الثاني لـRegions Bank أدرجت المعاملات الرقمية عند 80% من نشاط العملاء، مع ارتفاع مستخدمي الهاتف المحمول وعمليات الدخول واستخدام Zelle وحجم محادثات العملاء بينما يستمر تحديث الأنظمة الأساسية.Microsoft و3M تنقلان تقنية EBO البصرية إلى مراكز بيانات Azureالسحابة ومراكز البيانات19 يوليو 2026Microsoft و3M تنقلان تقنية EBO البصرية إلى مراكز بيانات Azureذكرت Capacity أن Microsoft تخطط لنشر تقنية Expanded Beam Optical من 3M في مراكز بيانات Azure، بينما ستستخدم 3M أدوات الذكاء الاصطناعي من Microsoft في خدمة العملاء والتمويل والمبيعات والتسويق.مقال في Yahoo Finance يحذر من تغير اقتصاديات الجرائم السيبرانية بفعل الذكاء الاصطناعيالأمن السيبراني19 يوليو 2026مقال في Yahoo Finance يحذر من تغير اقتصاديات الجرائم السيبرانية بفعل الذكاء الاصطناعينشرت Yahoo Finance مقالا يحذر من أن الذكاء الاصطناعي التوليدي يخفض كلفة التصيد والهندسة الاجتماعية ويزيد قدرة المهاجمين على التوسع. واستند المقال إلى أرقام عن كلفة الجرائم السيبرانية، ونسبة نقر 54 percent في تجربة تصيد مؤتمتة، وحادثة Hong Kong بقيمة $25 million، ودعا إلى تحديث التدريب والضوابط والمحاكاة والأدوات والحوكمة.Ericsson تفوز بدور دفاعي بريطاني في 5G ضمن إطار RM6393 بقيمة 8 مليارات جنيهالاتصالات والربط الشبكي19 يوليو 2026Ericsson تفوز بدور دفاعي بريطاني في 5G ضمن إطار RM6393 بقيمة 8 مليارات جنيهذكرت RCR Wireless News أن Ericsson اختيرت للخدمات والمكونات ضمن إطار RM6393 للاتصالات التكتيكية التابع لوزارة الدفاع البريطانية، بينما تتجه Nokia إلى 5G الدفاعية عبر قنوات الشركاء.Red Hat ترسم مسار ترقية AI-RAN حول اقتصاديات المشغلينالاتصالات والربط الشبكي19 يوليو 2026Red Hat ترسم مسار ترقية AI-RAN حول اقتصاديات المشغلينذكرت RCR Wireless News أن Red Hat تتوقع بدء تبني AI-RAN بمكاسب تشغيلية على شبكات الراديو الحالية قبل أن يختبر المشغلون بنية مشتركة للذكاء الاصطناعي وRAN نحو 2030.Superhuman تضيف Docs بمساعد ذكاء اصطناعي وروابط MCPالذكاء الاصطناعي19 يوليو 2026Superhuman تضيف Docs بمساعد ذكاء اصطناعي وروابط MCPذكرت No Jitter أن Superhuman أطلقت Docs، وهو منتج تعاون مبني حول الذكاء الاصطناعي تطور من Coda، مع Docs AI في الاختبار التجريبي وروابط MCP إلى أدوات مثل Claude وChatGPT وCursor وJira وSalesforce.H2LooP تجمع مليوني دولار لأدوات برمجة AI للأنظمة المدمجةالذكاء الاصطناعي19 يوليو 2026H2LooP تجمع مليوني دولار لأدوات برمجة AI للأنظمة المدمجةذكرت YourStory أن شركة H2LooP الناشئة في بنغالورو جمعت مليوني دولار لبناء أدوات برمجة AI موجهة للعتاد للبرمجيات الثابتة والأنظمة المدمجة، مع انتشار مبكر لدى فرق أشباه الموصلات والسيارات.France وGermany تسميان Arcadia نقطة بداية للذكاء الاصطناعي العسكري السياديرأس المال والسياسات19 يوليو 2026France وGermany تسميان Arcadia نقطة بداية للذكاء الاصطناعي العسكري السياديذكرت TNW أن France وGermany تعهدتا بدراسة عمود رقمي سيادي أوروبي للذكاء الاصطناعي العسكري، باستخدام Arcadia الفرنسية كنقطة بداية بعد تحرك البلدين بعيدا عن Palantir في أجهزة استخبارات.Moonshot تحدد 27 يوليو لإصدار نموذج Kimi K3 مفتوح المصدرالذكاء الاصطناعي19 يوليو 2026Moonshot تحدد 27 يوليو لإصدار نموذج Kimi K3 مفتوح المصدرذكرت BBC أن Moonshot AI أطلقت Kimi K3، وهو نموذج يضم 2.8 تريليون معامل ومن المقرر إصداره مفتوح المصدر في 27 يوليو. وتقول الشركة الصينية الناشئة إن النموذج يستطيع منافسة أنظمة OpenAI وAnthropic، لكن متطلبات الأجهزة الدقيقة والعملاء المؤسسيين لا يزالون غير معلنين.نظارات Meta الذكية تواجه رد فعل خصوصيا مع اتساع حظر المحاكمرأس المال والسياسات19 يوليو 2026نظارات Meta الذكية تواجه رد فعل خصوصيا مع اتساع حظر المحاكمذكرت Yahoo Tech أن رد الفعل ضد النظارات الذكية المدعومة بالذكاء الاصطناعي يتصاعد مع توسيع Meta للنظارات المزودة بكاميرات، وسط حظر في المحاكم ومخاوف من التعرف على الوجوه ومراجعة التسجيلات في السحابة.Nebius تجمع $775 مليون بدين مضمون لبناء سحابة GPUرأس المال والسياسات19 يوليو 2026Nebius تجمع $775 مليون بدين مضمون لبناء سحابة GPUقالت Nebius إن أول تسهيل دين مضمون لديها مدعوم ببنية GPU منشورة وتدفقات نقدية متعاقد عليها، مع تمويل بقيمة $775 مليون مسعر عند SOFR + 2.50% ويستحق في 31 أكتوبر 2030.البيت الأبيض يدفع نحو دور جديد في إتاحة نماذج الذكاء الاصطناعي المتقدمةرأس المال والسياسات18 يوليو 2026البيت الأبيض يدفع نحو دور جديد في إتاحة نماذج الذكاء الاصطناعي المتقدمةذكرت CNBC أن إدارة Trump تتدخل بشكل أعمق في قرارات إتاحة نماذج الذكاء الاصطناعي المتقدمة من OpenAI وAnthropic، بينما قال مسؤول في البيت الأبيض إن توقيت الإصدارات ونطاقها يظلان من قرارات الشركات.