قامت عملية ابتزاز إلكتروني متطورة تعرف باسم إنترلوك باستغلال ثغرة أمنية حرجة في برنامج مركز إدارة الجدار الناري الآمن (FMC) من سيسكو، قبل أن تقوم الشركة بإصدار تصحيح رسمي لها. وفقًا لتقارير استخبارات التهديدات، استغل المجموع هذه الثغرة المصنفة على أنها خطيرة للغاية وتسمب بتنفيذ تعليمات برمجية عن بُعد (RCE)، والمعروفة بتتبع CVE-2026-20131، في هجمات "صفرية اليوم" تستهدف شبكات المؤسسات منذ أواخر يناير. أصدرت سيسكو التصحيح الرسمي في 4 مارس 2026، محذرة من أن الثغرة تسمح لمهاجمين غير مصرح لهم بتنفيذ تعليمات جافا برمجية عشوائية بصلاحيات الجذر root على الأجهزة المتأثرة التي لم يتم تحديثها. تشير هذه الفجوة التي تزيد عن 36 يومًا بين بدء الاستغلال وتوفر التصحيح إلى نافذة الخطر الكبيرة التي واجهتها المنظمات.
ظهرت عملية إنترلوك للابتزاز الإلكتروني لأول مرة في سبتمبر 2024، وتم ربطها بحملات سابقة، بما في ذلك نشر حصان طروادة للوصول عن بُعد يسمى NodeSnake على شبكات تابعة لعدة جامعات بريطانية. كما ادعت العصابة مسؤوليتها عن هجمات على منظمات كبرى مثل مقدم الرعاية الصحية دايفيتا، ومركز كيتيرينغ الصحي، ونظام جامعة تكساس التقنية، ومدينة سانت بول في مينيسوتا. في تطور مقلق، أبلغ باحثو IBM X-Force مؤخرًا عن بدء مشغلي إنترلوك في نشر سلالة برمجية خبيثة جديدة أطلق عليها اسم "سلوبولي"، والتي يُشتبه في إنشائها باستخدام أدوات الذكاء الاصطناعي التوليدي، مما يشير إلى تكيف المجموعة مع التقنيات الحديثة لتعزيز قدراتها الهجومية.
يمثل استغلال ثغرة برنامج إدارة الجدار الناري لسيسكو تصعيدًا كبيرًا في تكتيكات إنترلوك. من خلال استهداف واجهة إدارة جدران الحماية المؤسسية - وهي مكون أساسي في بنية أمن الشبكات - يمكن للمهاجمين الحصول على موطئ قدم عميق داخل بيئة المنظمة لنشر برامج الفدية أو القيام بأنشطة تجسس. أكد فريق استخبارات التهديدات في أمازون أن إنترلوك كان يستغل هذه الثغرة المحددة لأكثر من شهر قبل أن تصدر سيسكو التصحيح. تؤكد هذه الفترة الطويلة من الاستغلال غير المعلن عنه التحديات التي تواجه الأمن السيبراني الدفاعي، حيث يمكن للخصوم العمل بخفاء داخل الأنظمة الحرجة لفترة طويلة قبل أن يدرك البائعون والمدافعون الثغرة المحددة التي يتم استغلالها.
هذا الحادث هو جزء من مشهد أوسع للتهديدات عالية الخطورة. بشكل متوازٍ، قامت شركة ConnectWise بتصحيح ثغرة جديدة في برنامج ScreenConnect الخاص بها يمكن أن تسمح بالاستيلاء على الأنظمة، كما تم استخدام ثغرة جديدة في نظام iOS أطلق عليها اسم "دارك سورد" في هجمات سرقة المعلومات، وأصاب برنامج GlassWorm الخبيث أكثر من 400 مستودع برمجي عبر منصات مثل GitHub و npm. كما أمرت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) الوكالات الفيدرالية بتصحيح ثغرة عبر مواقع (XSS) يتم استغلالها بنشاط في برنامج التعاون Zimbra. تذكرنا حالة استغلال عصابة إنترلوك للثغرة الصفرية في منتج سيسكو بأهمية حفاظ المنظمات على برامج صارمة لإدارة التصحيحات الأمنية، واستخدام تجزئة قوية للشبكة، ونشر قدرات البحث عن التهديدات للكشف عن الأنشطة غير الطبيعية، خاصة على منصات إدارة الأمن الحرجة، قبل إصدار النشرات الرسمية.
