کمیته رکن چهارم – یک آسیبپذیری بحرانی با شناسه CVE-2026-20131 در محصول Cisco Secure Firewall Management Center (FMC) شناسایی شده که به مهاجمان اجازه میدهد بدون نیاز به احراز هویت، کد دلخواه را با دسترسی root اجرا کنند.
به گزارش کمیته رکن چهارم، این نقص از نوع Insecure Deserialization بوده و با امتیاز ۱۰٫۰ (حداکثر شدت) ثبت شده است. بررسیها نشان میدهد این آسیبپذیری از تاریخ January 26, 2026 بهصورت Zero-Day در حملات واقعی مورد سوءاستفاده قرار گرفته است.
این حمله فراتر از یک exploit ساده است و بهصورت یک زنجیره حمله کامل در سطح باجافزار (ransomware-grade) اجرا میشود. مهاجمان با ارسال یک درخواست HTTP دستکاریشده کد Java را روی FMC اجرا کرده و پس از تأیید نفوذ، دستگاه آلوده را وادار به ارسال درخواست به سرور خود میکنند. در ادامه، یک payload لینوکسی (ELF) دانلود شده و مرحله استقرار ابزارهای مخرب آغاز میشود.
تحلیلها نشان میدهد مهاجمان از مجموعهای از ابزارهای پیشرفته برای شناسایی کامل محیط (Recon)، کنترل سیستم و پایداری استفاده میکنند. این شامل اسکریپتهای PowerShell برای جمعآوری اطلاعات سیستم، شبکه، کاربران و دادههای مرورگر و همچنین RATهای سفارشی با قابلیت اجرای دستورات، انتقال فایل و ایجاد SOCKS5 proxy است.
در این حمله، تکنیکهای پنهانسازی پیشرفته (anti-forensics) نیز مشاهده شده است؛ از جمله پاکسازی مداوم لاگها، حذف history شل و استفاده از web shellهای در حافظه که هیچ اثری روی دیسک باقی نمیگذارند. همچنین مهاجمان برای حفظ دسترسی از ابزار قانونی ConnectWise ScreenConnect استفاده میکنند تا فعالیت خود را طبیعی جلوه دهند.
بررسیها نشان میدهد این حمله به دلیل یک اشتباه پیکربندی از سوی مهاجم (OPSEC failure) کشف شده که منجر به افشای زیرساخت، ابزارها و زنجیره کامل حمله شده است.
کارشناسان هشدار میدهند این حمله بخشی از یک روند گستردهتر است که در آن مهاجمان بهجای سرقت اعتبارنامهها، بهطور مستقیم از آسیبپذیریهای نرمافزاری در تجهیزات لبهای مانند VPN و فایروالها برای نفوذ استفاده میکنند.
با توجه به ماهیت Zero-Day، تأکید شده که Patch بهتنهایی کافی نیست و سازمانها باید از رویکرد دفاع چندلایه (Defense-in-Depth) استفاده کنند؛ از جمله بهروزرسانی فوری سیستمها، مانیتورینگ ترافیک، محدودسازی دسترسیها، استفاده از MFA و بررسی نشانههای نفوذ.
این حادثه نشان میدهد که حملات باجافزاری امروزی به سطح APT-like sophistication رسیدهاند و ترکیب exploit، پنهانسازی و استفاده از ابزارهای قانونی به استاندارد جدید حملات سایبری تبدیل شده است.
منبع: The Hacker News
