CVE-2025-2025-20393 هي مشكلة أمنية ذات خطورة قصوى مرتبطة بعمليات نشر Cisco AsyncOS في بوابة البريد الإلكتروني الآمنة من Cisco للبريد الإلكتروني (SEG) و برنامج Cisco Secure Email and Web Manager (SEWM). إن الخطر الأساسي ليس خفيًا: يمكن للمهاجمين تنفيذ أوامر النظام التعسفية بامتيازات الجذر على الأجهزة المتأثرة، وتظهر الأدلة أنه يتم استغلالها بالفعل في البرية. (NVD)

من وجهة نظر المدافع، فإن هذا يقع في أسوأ مكان ممكن. تميل أجهزة SEG/SEWM إلى أن تكون موثوقة وشبه مبهمة و"خاصة" من الناحية التشغيلية - وغالباً ما يتم تصحيحها بشكل أبطأ من الخوادم السلعية، وتتم مراقبتها بشكل أقل شمولاً، وتُمنح وصولاً واسعاً إلى تدفقات البريد وشبكات الإدارة. عندما يصبح جهاز الحافة مضيفًا يتحكم فيه المهاجمون، فإن ذلك لا يعتبر مجرد حادث آخر لنقطة نهاية أخرى؛ بل هو نقطة محورية.

يركز هذا المقال على ما يهم بالفعل مهندسي الأمن الجادّين: ظروف التعرّض للاختراق، والحرفة التجارية بعد الاختراق، وأفكار الكشف عن الإشارات العالية، وخطوات الاحتواء العملية التي يمكنك تنفيذها حتى عندما لا يتوفر تصحيح بعد.

ما نوع الثغرة الأمنية CVE-2025-2025-20393؟

على مستوى التصنيف، يسجل NVD CVE-2025-2025-20393 على أنه CWE-20: التحقق غير السليم من صحة المدخلات، مع المتجه الأساسي CVSS v3.1 يشير إلى هجوم شبكي، لا يتطلب أي امتيازات مطلوبة، ولا تفاعل من المستخدم، وتأثير اختراق كامل. (NVD)

من الناحية العملية، تلخص مصادر متعددة التأثير على النحو التالي: تنفيذ الأوامر عن بُعد وغير المصادق عليها بامتيازات الجذر على نظام التشغيل الأساسي للجهاز المتأثر. (مدونة Cisco Talos Blog)

يُظهر NVD أيضًا تحديث CISA KEV: تاريخ الإضافة: 2025-12-17؛ تاريخ الاستحقاق: 2025-12-24، إلى جانب الإجراءات المطلوبة لتطبيق إجراءات التخفيف من البائع أو التوقف عن الاستخدام في حالة عدم توفر إجراءات التخفيف. (NVD)

المنتجات المتأثرة وظروف التعرض الحقيقي

الفارق الدقيق المهم: في حين أن إصدارات AsyncOS متورطة على نطاق واسع، يتركز الاستغلال الملاحظ في مجموعة فرعية محدودة من الأجهزة ذات تكوينات غير قياسية-وتحديداً حيث الحجر الصحي للرسائل غير المرغوب فيها تم تمكينه وتعرضه للإنترنت. (كمبيوتر نائم)

تؤكد العديد من التقارير أن لا يتم تمكين عزل الرسائل غير المرغوب فيها بشكل افتراضي، وأدلة النشر لا تتطلب أن يكون المنفذ المرتبط معرضًا للإنترنت - مما يعني أن العديد من البيئات ستصبح معرضة للخطر فقط من خلال خيارات التكوين أو الانجراف أو التعرض "المؤقت" الذي يحركه الراحة والذي أصبح دائمًا. (مساعدة صافي الأمان)

إذا كنت تقوم بفرز التأثير، فلا تخمن. مهمتك الأولى هي الإجابة عن سؤالين بالأدلة:

1. هل نقوم بتشغيل SEG أو SEWM (فعلي أو افتراضي)؟
2. هل يمكن الوصول إلى عزل البريد المزعج أو واجهة إدارة الويب من شبكات غير موثوق بها؟

إذا كانت الإجابة على كليهما هي "نعم"، فتعامل مع الأمر على أنه حادث حتى يثبت العكس.

سبب كون مكافحة التطرف العنيف هذه سيئة من الناحية التشغيلية: سلسلة الاختراقات المرصودة والأدوات

تعزو Cisco Talos النشاط (مع ثقة معتدلة) إلى جهة تهديد صينية مرتبطة بالصين يتتبعونها على أنها UAT-9686، ويشير إلى أن الحملة مستمرة منذ ما لا يقل عن أواخر نوفمبر 2025مع إدراك شركة Cisco على ديسمبر 10, 2025. (مدونة Cisco Talos Blog)

الجزء المتعلق بالمدافع هو ما يحدث بعد الوصول الأولي. تصف Talos سلسلة أدوات مصممة للمثابرة والنفق ومكافحة الاختراقات:

• أكواشيل:: باب خلفي خفيف الوزن من Python مدمج في ملف موجود داخل خادم ويب قائم على Python. يستمع بشكل سلبي إلى HTTP POST غير المصادق عليه الطلبات التي تحتوي على بيانات مصممة خصيصًا، وتفك تشفير المحتوى، وتنفذ الأوامر في غلاف النظام. تنص تالوس على أنها موضوعة في /data/web/euq_webui/htdocs/index.py. (مدونة Cisco Talos Blog)
• أكوا بيرج:: يزيل سطور السجل التي تحتوي على كلمات رئيسية محددة من ملفات سجلات محددة، باستخدام إيغريبتصفية النمط للاحتفاظ بخطوط "نظيفة" وإعادة كتابتها. (مدونة Cisco Talos Blog)
• النفق المائي:: تجميع ثنائي Go ثنائي يعتمد على عكسSSH، تُستخدم لإنشاء اتصال SSH عكسي بالبنية التحتية للمهاجمين. (مدونة Cisco Talos Blog)
• إزميل:: أداة نفقية مفتوحة المصدر تدعم أنفاق TCP/UDP عبر اتصال واحد قائم على HTTP، وهي مفيدة للوكيل والتمحور من خلال جهاز حافة. (مدونة Cisco Talos Blog)

هذا مهم لأنه يغير وضع استجابتك. عندما تتضمن قواعد اللعب الخاصة بالممثل غرسات المثابرة بالإضافة إلى التلاعب بالسجلات، يجب أن تفترض العمى الجزئي في السجلات المحلية وتخطط للاعتماد على القياس عن بُعد الخارجي (سجلات جدار الحماية، سجلات الوكيل، سجلات التدفق، سجلات NetFlow، سجلات DNS) للتحقق مما إذا كان الجهاز قد تحدث إلى البنية التحتية للمهاجمين.

المركبات العضوية المتداخلة عالية الإشارة وما يجب فعله بها

نشرت Talos أمثلة على تجزئات SHA-256 للأدوات (AquaTunnel، AquaPurge، Chisel) ومجموعة صغيرة من عناوين IP المرتبطة بالحملة، وتشير إلى مستودع GitHub لمجموعة IOC الكاملة. (مدونة Cisco Talos Blog)

ويتمثل نهج المهندس العملي في التعامل مع المركبات العضوية المتداخلة على أنها مسرعات الفرز السريعوليس دليلاً قاطعًا:

• إصابة إيجابية على أداة تجزئة الأداة أو عنوان IP المعروف: قم بالتصعيد على الفور، واحتفظ بالأدلة، وافتح قضية بائع، وخطط لإعادة البناء/الاستعادة.
• الضربة السلبية:: لا يبرئك؛ هذا يعني فقط أنك بحاجة إلى عمليات تحقق قائمة على السلوك والتكامل (لأن الجهات الفاعلة تتناوب البنية التحتية، وقد لا تكون أكواشيل متطابقة في التجزئة بين الضحايا). (مدونة Cisco Talos Blog)

فيما يلي أمثلة على الفحوصات "الآمنة" التي يمكنك إجراؤها دون أن يؤدي ذلك إلى الاستغلال.

1) التحقق من سلامة الملف (نقطة البداية)

# تحقق من الطابع الزمني والأذونات لملف واجهة مستخدم الويب المذكور في Talos
الإحصائيات /data/web/euq_webui/htdocs/index.py

# قم بتجزئته ومقارنته بخط الأساس المعروف لديك (إذا كان لديك واحد)
sha256sum /data/web/euq_webui/htdocs/index.py

# إذا كنت تحتفظ بنسخ احتياطية/لقطات تكوين، قارن الإصدارات
diff -u /path/to/known-good/index.py /data/web/euq_weq_webui/htdocs/index.py ||صحيح

يقوم Talos بتسمية هذا المسار صراحةً على أنه الموقع الذي يوضع فيه AquaShell. (مدونة Cisco Talos Blog)

2) مسح IOC الصادر في السجلات الخارجية (موصى به)

# مثال: grep بحثًا عن عناوين IP المعروفة في السجلات المصدّرة (استبدل المسارات بعناوين IP الخاصة بك)
grep -RRIn -ملفات ثنائية=بدون تطابق \\\
  -E "172\\.233\\.67\\.176|172\\.237\\.29\\.147|38\\.54\\.56\\.95" \\
  /var/log 2>/dev/null \ head -n 200

تم نشر عناوين IP أعلاه من قبل Talos على أنها مرتبطة بالحملة. (مدونة Cisco Talos Blog)

3) صيد "البريد غير المعتاد" (أفضل جهد، لا تفرط في التجهيز)

# ابحث عن نشاط POST على الويب الذي يلامس نمط المسار المذكور (في حالة وجود سجلات)
grep -Rep -RIn - binary-files=بدون مطابقة \\\
  -E "POST|/euq_webui/|/htdocs/index\\\.py" \\\
  /var/log 2> /dev/null | head -n 200

يعتمد سلوك AquaShell، وفقًا لـ Talos، على طلبات HTTP POST غير المصادق عليها التي تحمل محتوى أمر مشفّر. (مدونة Cisco Talos Blog)

التعرض والأولوية: جدول قرارات جاهز للميدان

يتطابق هذا الترتيب للأولويات مع الإجماع العام: يتم ملاحظة الاستغلال في المقام الأول حيثما تم تمكين عزل الرسائل غير المرغوب فيها وكشفها وفي تكوينات غير قياسية. (كمبيوتر نائم)

عمليات التخفيف في حالة عدم وجود تصحيح بعد

اعتبارًا من ملخص RunZero (تم تحديثه في 17 ديسمبر 2025), لا توجد حالياً نسخة ثابتة مصححة متاحة، ويوصي البائع بتعطيل الحجر الصحي للرسائل غير المرغوب فيها وعزل الأنظمة الضعيفة خلف ضوابط الوصول إلى الشبكة. (رن زيرو)

وتصف تغطية BleepingComputer بالمثل نصائح سيسكو للمسؤولين بتقييد الوصول (تقييد الوصول إلى الإنترنت، وتقييد الوصول إلى المضيفين الموثوقين، ووضع الأجهزة خلف جدران الحماية)، بالإضافة إلى النظافة التشغيلية مثل الاحتفاظ بالسجلات، وفصل وظائف معالجة البريد عن وظائف الإدارة، واستخدام طرق مصادقة قوية. (كمبيوتر نائم)

الهدف الاستراتيجي بسيط: انهيار سطح الهجوم أسرع من قدرة المهاجم على مسحها واستغلالها.

تسلسل عملي للتخفيف من المخاطر يمكن للفرق تنفيذه اليوم:

1. إزالة التعرض للإنترنت إلى عزل الرسائل غير المرغوب فيها وأي أسطح إدارة.
2. تقييد وصول الإدارة إلى قائمة محدودة المسموح بها (VPN + حصن فقط).
3. الأدوار المنفصلة:: لا ينبغي أن يكون مستوى الإدارة هو نفس مستوى التعرض لمناولة البريد. (كمبيوتر نائم)
4. الاحتفاظ بالسجلات والقياس عن بُعد الخارجي قبل أن تقوم بتدوير أي شيء - يوثق تالوس أدوات تنقية السجلات (AquaPurge)، لذا افترض أن القطع الأثرية المحلية قد تكون غير مكتملة. (مدونة Cisco Talos Blog)
5. إجراء فحوصات النزاهة على مسار واجهة مستخدم الويب الذي ذكره تالوس والبحث عن أدوات النفق. (مدونة Cisco Talos Blog)
6. إذا كانت لديك مؤشرات على وجود تسوية فتح قضية Cisco TAC (توصي Cisco والتغطية بهذا المسار للتحقق من صحة الاختراق والاستجابة). (كمبيوتر نائم)

إعادة البناء مقابل "تنظيفه في مكانه": كن صادقًا بشأن واقع الأجهزة

يكره مهندسو الأمن كلمة "إعادة البناء" لأنها معطّلة، لكن الأجهزة المحيطية فريدة من نوعها: عندما تكون المثابرة مدمجة في مكونات الويب، وتكون سلامة السجل مشكوكًا فيها، يمكنك قضاء أيام في "التنظيف" مع ترك باب خلفي خلفك.

تشير التقارير العامة إلى موقف شركة Cisco، في حالات الاختراق المؤكد, إعادة بناء الأجهزة هو الخيار الوحيد القابل للتطبيق حاليًا للقضاء على آلية الثبات. (مساعدة صافي الأمان)

تعامل مع "التخفيف" و"الاستئصال" كحالتين مختلفتين. التخفيف يغلق الباب. يثبت الاستئصال أن المهاجم لا يزال في الداخل.

أين يمكن أن تساعد عمليات سير العمل الأمنية القائمة على الذكاء الاصطناعي

إذا كانت بيئتك تحتوي على مثيلات SEG/SEWM متعددة عبر المناطق، فإن الجزء الأصعب نادراً ما يكون التخفيف بحد ذاته - بل هو التنسيق وتتبع الأدلة: أي المثيلات التي تم كشفها، وأي مقابض التكوين التي تم تغييرها، وما هي السجلات التي تم الاحتفاظ بها، وما إذا كانت الاتصالات الصادرة تتطابق مع مراكز العمليات الدولية المنشورة، وكيف يبدو الوضع الأمني النهائي.

هذا هو المكان الذي يمكن أن تضيف فيه المنصة القائمة على الذكاء الاصطناعي قيمة فعلية دون التظاهر بأنها سحرية:

• أتمتة التحقق من التعرّض ("هل يمكن الوصول إلى الحجر الصحي للرسائل غير المرغوب فيها من شبكات غير موثوق بها؟") وفق جدول زمني
• تحويل مراكز العمليات المتكاملة المنشورة إلى عمليات بحث متكررة عبر SIEM، وسجلات جدار الحماية، والقياس عن بُعد لنقطة النهاية
• إنشاء تقرير عن الحادث يستند إلى الأدلة أولاً يمكن أن يثق به كل من مدير أمن المعلومات والمهندس

إذا كنت تستخدم Penligent بالفعل لأتمتة الأمان، فإن الملاءمة هنا واضحة ومباشرة: أنشئ سجل تشغيل قابل للتكرار للتحقق من صحة التكوين + إمكانية الوصول + فحوصات القياس عن بُعد ويصدر حزمة أدلة منظمة لعلاقات المستثمرين. إن أفضل نتيجة ليست "استغلال الذكاء الاصطناعي" - بل هي تقليل النقاط العمياء واتخاذ قرارات أسرع وأكثر ثقة.

المراجع

https://nvd.nist.gov/vuln/detail/CVE-2025-20393

https://www.cve.org/CVERecord?id=CVE-2025-20393

https://blog.talosintelligence.com/uat-9686

https://www.runzero.com/blog/cisco-secure-email-gateway

https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://cwe.mitre.org/data/definitions/20.html

https://github.com/Fahrj/reverse-ssh

https://github.com/jpillora/chisel

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4