---
title: آسیب‌پذیری روز صفر در Cisco SD-WAN؛ مهاجمان به دسترسی ریشه رسیدند 
date: 2026-07-02T17:30:07Z
modified: 2026-07-02T17:43:27Z
permalink: "https://nooshdaroo.ir/safe-ecommerce-selling/cisco-zero-day-network-management-compromise/"
type: post
status: publish
excerpt: ""
wpid: 14107
categories:
  - کسب‌وکار آنلاین
  - خبر و تحلیل
tags:
  - top-section-overwrite
  - امنیت سایبری
author:
  - Hooshyar
  - daniyal
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/cisco-zero-day-network-management-risk.webp"
---

سیسکو یک [آسیب‌پذیری روز صفر](https://nooshdaroo.ir/cybersecurity-basics/zero-day-vulnerability/) در Cisco Catalyst SD-WAN Manager را برطرف کرده است؛ نقصی که مهاجمان پیش از انتشار وصله از آن برای دستیابی به دسترسی ریشه (Root) و کنترل کامل سامانه مدیریتی شبکه سوءاستفاده کرده‌اند.

بررسی‌های مندیانت (Mandiant – متعلق به گوگل) نشان می‌دهد این حملات بخشی از یک زنجیره نفوذ چندمرحله‌ای بوده‌اند که با دور زدن احراز هویت آغاز و به تصرف کامل زیرساخت مدیریتی شبکه ختم شده‌اند.

## زنجیره نفوذ چگونه عمل می‌کند؟ 

آسیب‌پذیری جدید که با شناسه CVE-2026-20245 ردیابی می‌شود، در رابط خط فرمان نرم‌افزار Cisco Catalyst SD-WAN Manager قرار دارد. ریشه این مشکل امنیتی، ضعف سیستم در اعتبارسنجی دقیق فایل‌های بارگذاری‌شده توسط کاربر است. برای بهره‌برداری موفق، مهاجم باید پیش از هر چیز سطح دسترسی netadmin را در شبکه هدف در اختیار داشته باشد.

تحلیلگران امنیتی شرکت مندیانت گزارش داده‌اند که مهاجمان برای عبور از این پیش‌نیاز، ابتدا از آسیب‌پذیری‌های دیگری برای دور زدن احراز هویت استفاده کرده‌اند. جدول زیر نشان می‌دهد که چگونه ترکیب این آسیب‌پذیری‌ها یک زنجیره نفوذ کامل را شکل داده است. دو آسیب‌پذیری اول امکان دور زدن سازوکارهای احراز هویت را فراهم می‌کنند، درحالی‌که CVE-2026-20245 برای ارتقای سطح دسترسی و اجرای دستور در سامانه استفاده می‌شود.



| **شناسه آسیب‌پذیری** | **امتیاز شدت** | **نوع آسیب‌پذیری** | **نقش در زنجیره حمله** |
| --- | --- | --- | --- |
| **CVE-2026-20127** | ۱۰٫۰ | دور زدن احراز هویت | نفوذ اولیه و دسترسی بدون نیاز به رمز |
| **CVE-2026-20182** | ۱۰٫۰ | دور زدن احراز هویت | نفوذ اولیه و دور زدن مکانیزم همتا |
| **CVE-2026-20245** | ۷٫۸ | اجرای دستور / ارتقای سطح دسترسی | رسیدن به دسترسی ریشه پس از دسترسی مدیریتی و بارگذاری فایل مخرب |

## پس از نفوذ چه اتفاقی رخ می‌دهد؟ 

پس از کسب دسترسی اولیه، مهاجمان یک فایل مخرب با فرمت CSV (با نام evil\_tenant.csv) را در سیستم بارگذاری می‌کنند. این فایل به مهاجمان اجازه می‌دهد یک حساب کاربری پنهان با سطح دسترسی ریشه به‌نام troot ایجاد کنند و فایل‌های سیستمی مرتبط با احراز هویت را تغییر دهند. این سطح از دسترسی می‌تواند امکان اعمال تغییرات گسترده در پیکربندی زیرساخت SD-WAN را در اختیار مهاجمان قرار دهد.

نکته قابل‌توجه در این حمله، برنامه‌ریزی دقیق مهاجمان و استفاده از تکنیک‌های پنهان‌سازی ردپا است. بر اساس گزارش مندیانت، مهاجم فایل‌های ایجادشده را حذف کرده، تغییرات پیکربندی را برگردانده و اسکریپتی اجرا کرده تا مطمئن شود نشانه‌های فعالیتش باقی نمانده است.



در ادامه با اجرای اسکریپت‌های اعتبارسنجی، تلاش می‌کنند آثار فایل‌های مخرب و تغییرات غیرمجاز را تا حد ممکن از دید ابزارهای پایش پنهان کنند. این رویکرد، عملیات تشخیص نفوذ را برای تیم‌های امنیتی بسیار دشوار می‌کند.

## وصله امنیتی منتشر شده؛ مدیران شبکه چه باید بکنند؟ 

شرکت سیسکو در اواسط ژوئن ۲۰۲۶ (خرداد ۱۴۰۵) وصله‌های امنیتی رسمی را برای برطرف کردن آسیب‌پذیری CVE-2026-20245 منتشر کرد. نسخه‌های ایمن ارائه‌شده شامل به‌روزرسانی‌هایی نظیر 20.9.9.2، 20.12.7.2، 20.15.4.5، 20.15.5.3، 20.18.3.1، 26.1.1.2 یا نسخه‌های بعدی است.

![نوشدارو پلاس](https://nooshdaroo.ir/wp-content/themes/nooshdaroo/assets/images/nooshdaroo-plus.png)

##### نوشدارو پلاس



اقدام اصلی برای رفع CVE-2026-20245، ارتقا به نسخه‌های اصلاح‌شده است؛ اما اگر نشانه‌ای از نفوذ دیده شود، طبق راهنمایی سیسکو باید موضوع برای بررسی و پاک‌سازی کامل به Cisco TAC ارجاع شود.





با این حال، فرایند نصب این وصله نیازمند احتیاط است. کارشناسان امنیتی تأکید می‌کنند که پیش از انجام هرگونه ارتقای نرم‌افزاری، مدیران شبکه باید با اجرای دستور request admin-tech، تمامی لاگ‌های سیستمی را برای کشف نشانه‌های احتمالی نفوذ ذخیره کنند.

اگر سیستمی پیش‌تر مورد نفوذ قرار گرفته باشد، صرفاً نصب وصله امنیتی برای قطع دسترسی مهاجمان کافی نیست. در این صورت، بررسی لاگ‌ها، حذف دسترسی‌های غیرمجاز، بازبینی حساب‌های کاربری و اعتبارسنجی مجدد پیکربندی‌ها باید تحت نظر تیم‌های امنیتی انجام شود. همچنین پس از نصب به‌روزرسانی، پیکربندی تمامی سرورهای شبکه باید به‌دقت بررسی شود تا از نبود تغییرات پنهان و مخرب اطمینان حاصل شود.

## چرا این آسیب‌پذیری برای سازمان‌های ایرانی اهمیت دارد؟ 

تجهیزات سیسکو در بسیاری از سازمان‌ها، بانک‌ها و مراکز داده ایران استفاده می‌شوند. به‌ دلیل تحریم‌های بین‌المللی، بیشتر این سازمان‌ها امکان ارتباط مستقیم با سرورهای سیسکو را ندارند و برای فعال‌سازی قابلیت‌های دستگاه‌های خود از لایسنس‌های آفلاین نظیر PLR استفاده می‌کنند. فقدان دسترسی به خدمات پشتیبانی مستقیم و نبود به‌روزرسانی‌های خودکار، موجب می‌شود تا نصب وصله‌های امنیتی حیاتی در شبکه‌های داخلی با تأخیرهای طولانی همراه باشد.

برای مقابله با این تهدید در زیرساخت‌های بومی، مدیران شبکه سازمان‌های ایرانی باید پیش از هرگونه ارتقای نرم‌افزاری، دسترسی به رابط‌های مدیریتی از جمله سرویس‌های مبتنی بر SSH و NETCONF (پورت‌های ۲۲ و ۸۳۰) را تنها به آدرس‌های مورد اعتماد محدود کنند.

همچنین، پایش مستمر فایل scripts.log برای شناسایی آپلودهای غیرمجاز و بررسی دقیق تغییرات پیکربندی در سرورهای شبکه امری حیاتی است.

## به یاد داشته باشید

این رخداد بار دیگر نشان می‌دهد که سامانه‌های مدیریتی شبکه به یکی از اهداف اصلی مهاجمان تبدیل شده‌اند. بهره‌برداری از آسیب‌پذیری‌های روز صفر، به‌ویژه زمانی که با نقص‌های احراز هویت ترکیب شود، می‌تواند به تصرف کامل زیرساخت منجر شود. به‌ همین دلیل، محدودسازی دسترسی‌های مدیریتی، پایش مستمر لاگ‌ها و نصب سریع وصله‌های امنیتی باید در اولویت تیم‌های فناوری اطلاعات قرار گیرد.