🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
ذكاء نقاط الضعف
3
mins read

ثغرة CVSS 10 لمدير الاتصالات الموحدة من Cisco: أكثر من ألف أصل معرض للإنترنت

هناك خلل خطير (CVE-2025-20309، CVSS 10.0) في إدارة الاتصالات الموحدة من Cisco يتيح للمهاجمين الوصول إلى الجذر عبر بيانات اعتماد مشفرة في الإصدارات 15.0.1.13010-1 إلى 13017-1. أكثر من 1,000 أصل مكشوف على الإنترنت معرض للخطر على مستوى العالم، خاصة في الولايات المتحدة وآسيا. تشمل الأهداف المحتملة VoIP والشبكات الحكومية. يُنصح بشدة بالتصحيح الفوري وقيود الوصول ومراقبة السجلات لمنع اختراق النظام.

كلاودسك ترياد
July 4, 2025
Green Alert
Last Update posted on
August 21, 2025

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

أصدرت Cisco تحديثات أمنية عاجلة لإصلاح ثغرة خطيرة (CVE-2025-20309، CVSS 10.0) في إدارة الاتصالات الموحدة (Unified CM) وإصدار إدارة الجلسة الخاص بها. يسمح هذا الخلل للمهاجمين بالوصول إلى الجذر عبر بيانات الاعتماد المشفرة الموجودة في الإصدارات المتأثرة من 15.0.1.13010-1 إلى 15.0.1.13017-1، بغض النظر عن تكوين الجهاز. يوجد أكثر من ألف جهاز مكشوف في جميع أنحاء العالم، لا سيما في الولايات المتحدة وتايلاند وكوريا وروسيا وأوروبا؛ بعضها يتعلق بمؤسسات في قطاعات بالغة الأهمية. من المرجح أن تستغل الجهات الفاعلة البارزة في مجال التهديد مثل APT28 و APT41 و MuddyWater ووسطاء الوصول هذا الخلل لاختراق الشبكات أو اعتراض حركة مرور VoIP أو نشر برامج الفدية. على الرغم من عدم تأكيد أي استغلال عام حتى الآن، إلا أن الاحتمال كبير جدًا. يعد التصحيح الفوري وتقييد الوصول إلى الإدارة والمراقبة اليقظة للسجلات لعمليات تسجيل دخول SSH الجذرية وتجزئة الشبكة من عوامل التخفيف الحاسمة لمنع اختراق النظام الكامل والحركة الجانبية المحتملة داخل البيئات المتأثرة.

التحليل والإسناد

أصدرت Cisco تحديثات أمنية لمعالجة ثغرة خطيرة (CVE-2025-20309) في إدارة الاتصالات الموحدة (Unified CM) وإصدار إدارة جلسة CM الموحدة (Unified CM SME). هذا العيب، مع درجة CVSS تبلغ 10.0، يسمح للمهاجم بالوصول إلى الجذر والامتيازات المرتفعة على الأجهزة المتأثرة. تؤثر الثغرة الأمنية على CM الموحدة والشركات الصغيرة والمتوسطة الموحدة CM الإصدارات 15.0.1.13010-1 حتى 15.0.1.13017-1، بغض النظر عن تكوين الجهاز.

مصدر: خدمات استشارية من Cisco

يأتي ذلك بعد أن قامت Cisco بتصحيح ثغرتين أمنيتين (CVE-2025-20281 و CVE-2025-20282) داخل محرك خدمات الهوية وموصل الهوية السلبي ISE، والذي سمح سابقًا للمهاجمين غير المصادق عليهم بتنفيذ أوامر عشوائية بامتيازات الجذر.

استنادًا إلى نتائج بحث FOFA، يمكننا أن نرى أن هناك أكثر من ألف أصل مكشوف على الإنترنت يعمل بنظام Cisco Unified Communications Manager.

وتوجد غالبية الأصول في الولايات المتحدة، تليها تايلاند وكوريا وروسيا والتشيك واليابان ومالي وليتوانيا.

الجهات الفاعلة في مجال التهديد تحت المجهر

قد تهتم الجهات الفاعلة التالية بتسليح ناقل الوصول الأولي هذا بناءً على تاريخها:

1. APT28 (فانسي بير، روسيا):
  • معروف بالاستغلال نقاط الضعف في البنية التحتية للشبكة (سيسكو، فورتينيت، إلخ).
  • سبق له استخدام ناقلات هجوم VPN/VoIP أثناء الحركة الجانبية.
  • استهداف مسبق لـ سيسكو آسا و البنية التحتية عبر بروتوكول VOIP/UC في الشبكات العسكرية والحكومية.
2. APT41 (الصين):
  • يتمتع بمهارات عالية في مرحلة ما بعد الاستغلال و تسليح التكوينات الخاطئة أو عيوب بيانات الاعتماد المشفرة.
  • تاريخ استهداف سلسلة التوريد والاتصالات.
  • استفدت من الخدمات المكشوفة وبيانات الاعتماد الإدارية الضعيفة خلال الحملات في آسيا والشرق الأوسط.
3. مودي ووتر (إيران):
  • معروف بالاستغلال تجاوز المصادقة و RCE في معدات الشبكة.
  • المستهدفة البنية التحتية للاتصالات والحكومة في الإمارات العربية المتحدة وتركيا وإسرائيل.
  • يستخدم أدوات مثل ليغولو و إزميل بعد الوصول إلى الجذر - تعمل هذه الأجهزة جيدًا على أجهزة Linux مثل Unified CM.
4. مجموعات UNC ووسطاء الوصول:
  • وسطاء الوصول غالبًا ما يبحث عن RCE أو العيوب المستندة إلى بيانات الاعتماد (مثل هذه) و بيع الوصول إلى الجذر لمشغلي برامج الفدية.
  • يمكن العثور على أجهزة Cisco الموحدة CM باستخدام شودان/سينسيس إذا تم تكوينه بشكل خاطئ.
  • يمكن أيضًا بيع سجلات الاستغلال الناجح على منتديات الويب المظلمة.

ما مدى احتمالية الاستغلال؟

مرتفع جدًا، إذا:

  • تصبح بيانات الاعتماد المشفرة معروفة (على سبيل المثال، المسربة، ذات الهندسة العكسية، القسرية).
  • يتم عرض الأنظمة خارجيًا (على سبيل المثال، عبر جدران الحماية التي تم تكوينها بشكل خاطئ أو VPN).
  • تؤخر المنظمات التصحيح.

وفقًا لشركة Cisco، لم يكن هناك أي استغلال عام حتى الآن. ومع ذلك، تتأكد CloudSek بثقة عالية من أن الجهات الفاعلة في مجال التهديد ذات الموارد الكبيرة قد تحاول إنشاء إثبات عملي لمفهوم استغلال هذه الثغرة الأمنية.

التأثير

  • انتقل إلى الشبكة الداخلية.
  • تنفيذ الأمر كجذر (اختراق النظام بالكامل)، مما يؤدي إلى تسرب البيانات و/أو برامج الفدية.
  • اعتراض حركة مرور VoIP أو التلاعب بها، مثل:
    • التنصت على المحادثات الحساسة.
    • رجل في الوسط (MITM) لتيارات SIP أو RTP.
  • قم بتعطيل تدفقات المكالمات أو انتحال شخصية المستخدمين الداخليين.
  • استخراج سجلات المكالمات أو بيانات البريد الصوتي.

عوامل التخفيف

  • قم بتطبيق تحديثات أمان Cisco على الفور: قم بتصحيح جميع أنظمة Unified CM و Unified CM SME المتأثرة للتخلص من ثغرة بيانات اعتماد الجذر المشفرة.
  • تقييد الوصول إلى واجهات الإدارة: قم بتقييد وصول الشبكة إلى واجهات إدارة Unified CM باستخدام قواعد جدار الحماية الصارمة وشبكات VPN لمنع محاولات تسجيل الدخول غير المصرح بها.
  • رصد مؤشرات التسوية: تحقق بانتظام من سجلات النظام (/var/log/active/syslog/secure) بحثًا عن إدخالات غير متوقعة لتسجيل الدخول إلى الجذر وتحقق من الحالات الشاذة على الفور. إذا كان إدخال السجل يتضمن كلاهما sshd ويعرض تسجيل دخول SSH ناجح من قبل المستخدم جذر، ابدأ الاستجابة للحوادث على الفور.
  • إجراء تجزئة الشبكة والاستجابة للحوادث: اعزل البنية التحتية VoIP الضعيفة أو الحرجة عن قطاعات الشبكة العامة وقم بإعداد خطط الاستجابة للحوادث لسيناريوهات الاستغلال المحتملة.
  • تحليل سطح الهجوم: ارسم خريطة لبصمة أصولك الرقمية باستخدام حلول مثل BeVigil واكتسب الرؤية في سطح الهجوم المخفي.

Author

كلاودسك ترياد

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
ذكاء نقاط الضعف

ثغرة CVSS 10 لمدير الاتصالات الموحدة من Cisco: أكثر من ألف أصل معرض للإنترنت

هناك خلل خطير (CVE-2025-20309، CVSS 10.0) في إدارة الاتصالات الموحدة من Cisco يتيح للمهاجمين الوصول إلى الجذر عبر بيانات اعتماد مشفرة في الإصدارات 15.0.1.13010-1 إلى 13017-1. أكثر من 1,000 أصل مكشوف على الإنترنت معرض للخطر على مستوى العالم، خاصة في الولايات المتحدة وآسيا. تشمل الأهداف المحتملة VoIP والشبكات الحكومية. يُنصح بشدة بالتصحيح الفوري وقيود الوصول ومراقبة السجلات لمنع اختراق النظام.
July 4, 2025
3
min
Table of Content
Example H2

ملخص تنفيذي

أصدرت Cisco تحديثات أمنية عاجلة لإصلاح ثغرة خطيرة (CVE-2025-20309، CVSS 10.0) في إدارة الاتصالات الموحدة (Unified CM) وإصدار إدارة الجلسة الخاص بها. يسمح هذا الخلل للمهاجمين بالوصول إلى الجذر عبر بيانات الاعتماد المشفرة الموجودة في الإصدارات المتأثرة من 15.0.1.13010-1 إلى 15.0.1.13017-1، بغض النظر عن تكوين الجهاز. يوجد أكثر من ألف جهاز مكشوف في جميع أنحاء العالم، لا سيما في الولايات المتحدة وتايلاند وكوريا وروسيا وأوروبا؛ بعضها يتعلق بمؤسسات في قطاعات بالغة الأهمية. من المرجح أن تستغل الجهات الفاعلة البارزة في مجال التهديد مثل APT28 و APT41 و MuddyWater ووسطاء الوصول هذا الخلل لاختراق الشبكات أو اعتراض حركة مرور VoIP أو نشر برامج الفدية. على الرغم من عدم تأكيد أي استغلال عام حتى الآن، إلا أن الاحتمال كبير جدًا. يعد التصحيح الفوري وتقييد الوصول إلى الإدارة والمراقبة اليقظة للسجلات لعمليات تسجيل دخول SSH الجذرية وتجزئة الشبكة من عوامل التخفيف الحاسمة لمنع اختراق النظام الكامل والحركة الجانبية المحتملة داخل البيئات المتأثرة.

التحليل والإسناد

أصدرت Cisco تحديثات أمنية لمعالجة ثغرة خطيرة (CVE-2025-20309) في إدارة الاتصالات الموحدة (Unified CM) وإصدار إدارة جلسة CM الموحدة (Unified CM SME). هذا العيب، مع درجة CVSS تبلغ 10.0، يسمح للمهاجم بالوصول إلى الجذر والامتيازات المرتفعة على الأجهزة المتأثرة. تؤثر الثغرة الأمنية على CM الموحدة والشركات الصغيرة والمتوسطة الموحدة CM الإصدارات 15.0.1.13010-1 حتى 15.0.1.13017-1، بغض النظر عن تكوين الجهاز.

مصدر: خدمات استشارية من Cisco

يأتي ذلك بعد أن قامت Cisco بتصحيح ثغرتين أمنيتين (CVE-2025-20281 و CVE-2025-20282) داخل محرك خدمات الهوية وموصل الهوية السلبي ISE، والذي سمح سابقًا للمهاجمين غير المصادق عليهم بتنفيذ أوامر عشوائية بامتيازات الجذر.

استنادًا إلى نتائج بحث FOFA، يمكننا أن نرى أن هناك أكثر من ألف أصل مكشوف على الإنترنت يعمل بنظام Cisco Unified Communications Manager.

وتوجد غالبية الأصول في الولايات المتحدة، تليها تايلاند وكوريا وروسيا والتشيك واليابان ومالي وليتوانيا.

الجهات الفاعلة في مجال التهديد تحت المجهر

قد تهتم الجهات الفاعلة التالية بتسليح ناقل الوصول الأولي هذا بناءً على تاريخها:

1. APT28 (فانسي بير، روسيا):
  • معروف بالاستغلال نقاط الضعف في البنية التحتية للشبكة (سيسكو، فورتينيت، إلخ).
  • سبق له استخدام ناقلات هجوم VPN/VoIP أثناء الحركة الجانبية.
  • استهداف مسبق لـ سيسكو آسا و البنية التحتية عبر بروتوكول VOIP/UC في الشبكات العسكرية والحكومية.
2. APT41 (الصين):
  • يتمتع بمهارات عالية في مرحلة ما بعد الاستغلال و تسليح التكوينات الخاطئة أو عيوب بيانات الاعتماد المشفرة.
  • تاريخ استهداف سلسلة التوريد والاتصالات.
  • استفدت من الخدمات المكشوفة وبيانات الاعتماد الإدارية الضعيفة خلال الحملات في آسيا والشرق الأوسط.
3. مودي ووتر (إيران):
  • معروف بالاستغلال تجاوز المصادقة و RCE في معدات الشبكة.
  • المستهدفة البنية التحتية للاتصالات والحكومة في الإمارات العربية المتحدة وتركيا وإسرائيل.
  • يستخدم أدوات مثل ليغولو و إزميل بعد الوصول إلى الجذر - تعمل هذه الأجهزة جيدًا على أجهزة Linux مثل Unified CM.
4. مجموعات UNC ووسطاء الوصول:
  • وسطاء الوصول غالبًا ما يبحث عن RCE أو العيوب المستندة إلى بيانات الاعتماد (مثل هذه) و بيع الوصول إلى الجذر لمشغلي برامج الفدية.
  • يمكن العثور على أجهزة Cisco الموحدة CM باستخدام شودان/سينسيس إذا تم تكوينه بشكل خاطئ.
  • يمكن أيضًا بيع سجلات الاستغلال الناجح على منتديات الويب المظلمة.

ما مدى احتمالية الاستغلال؟

مرتفع جدًا، إذا:

  • تصبح بيانات الاعتماد المشفرة معروفة (على سبيل المثال، المسربة، ذات الهندسة العكسية، القسرية).
  • يتم عرض الأنظمة خارجيًا (على سبيل المثال، عبر جدران الحماية التي تم تكوينها بشكل خاطئ أو VPN).
  • تؤخر المنظمات التصحيح.

وفقًا لشركة Cisco، لم يكن هناك أي استغلال عام حتى الآن. ومع ذلك، تتأكد CloudSek بثقة عالية من أن الجهات الفاعلة في مجال التهديد ذات الموارد الكبيرة قد تحاول إنشاء إثبات عملي لمفهوم استغلال هذه الثغرة الأمنية.

التأثير

  • انتقل إلى الشبكة الداخلية.
  • تنفيذ الأمر كجذر (اختراق النظام بالكامل)، مما يؤدي إلى تسرب البيانات و/أو برامج الفدية.
  • اعتراض حركة مرور VoIP أو التلاعب بها، مثل:
    • التنصت على المحادثات الحساسة.
    • رجل في الوسط (MITM) لتيارات SIP أو RTP.
  • قم بتعطيل تدفقات المكالمات أو انتحال شخصية المستخدمين الداخليين.
  • استخراج سجلات المكالمات أو بيانات البريد الصوتي.

عوامل التخفيف

  • قم بتطبيق تحديثات أمان Cisco على الفور: قم بتصحيح جميع أنظمة Unified CM و Unified CM SME المتأثرة للتخلص من ثغرة بيانات اعتماد الجذر المشفرة.
  • تقييد الوصول إلى واجهات الإدارة: قم بتقييد وصول الشبكة إلى واجهات إدارة Unified CM باستخدام قواعد جدار الحماية الصارمة وشبكات VPN لمنع محاولات تسجيل الدخول غير المصرح بها.
  • رصد مؤشرات التسوية: تحقق بانتظام من سجلات النظام (/var/log/active/syslog/secure) بحثًا عن إدخالات غير متوقعة لتسجيل الدخول إلى الجذر وتحقق من الحالات الشاذة على الفور. إذا كان إدخال السجل يتضمن كلاهما sshd ويعرض تسجيل دخول SSH ناجح من قبل المستخدم جذر، ابدأ الاستجابة للحوادث على الفور.
  • إجراء تجزئة الشبكة والاستجابة للحوادث: اعزل البنية التحتية VoIP الضعيفة أو الحرجة عن قطاعات الشبكة العامة وقم بإعداد خطط الاستجابة للحوادث لسيناريوهات الاستغلال المحتملة.
  • تحليل سطح الهجوم: ارسم خريطة لبصمة أصولك الرقمية باستخدام حلول مثل BeVigil واكتسب الرؤية في سطح الهجوم المخفي.
كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Related Blogs

ذكاء نقاط الضعف
July 4, 2025
3
min
ثغرة CVSS 10 لمدير الاتصالات الموحدة من Cisco: أكثر من ألف أصل معرض للإنترنت
Read more
قصص نجاح CloudSek
March 26, 2025
3
min
القروض غير المضمونة: كيف يمكن للعيوب الخفية في منصات الإقراض الرقمية أن تشل أعمال التكنولوجيا المالية الخاصة بك
Read more
قصص نجاح CloudSek
April 11, 2025
3
min
كيف أدى التكوين الخاطئ إلى تسريب بيانات العملاء وبيانات اعتماد الأمان
Read more