الصفحات
بحث
تحذير: مهاجم واحد وراء 83% من اختراقات Ivanti (2026)
الأمن السيبراني #أمن_سيبراني #Ivanti

تحذير: مهاجم واحد وراء 83% من اختراقات Ivanti (2026)

منذ 6 ساعات 6 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
6 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

أظهرت تقارير استخبارات التهديدات أن جهة واحدة مسؤولة عن معظم الاستغلال النشط لثغرتين خطيرتين في Ivanti Endpoint Manager Mobile (EPMM)، وهما CVE-2026-21962 و CVE-2026-24061. وقد تم تصنيف هذه المشكلات الأمنية على أنها مستغلة بنشاط في هجمات 'يوم الصفر' (Zero-day) ضمن النشرة الأمنية للشركة.

هيمنة مصدر واحد على الهجمات

وفقاً لشركة GreyNoise المتخصصة في استخبارات الإنترنت، فإن عنوان IP واحد مستضاف على بنية تحتية محصنة (Bulletproof Infrastructure) مسؤول عن أكثر من 83% من نشاط الاستغلال المتعلق بالثغرتين. تسمح هذه الثغرات للمهاجمين بحقن التعليمات البرمجية دون مصادقة، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد (RCE) على الأنظمة المصابة.

رصدت منصة المراقبة 417 جلسة استغلال بين 1 و9 فبراير، صادرة عن 8 عناوين IP فريدة. وجاءت النسبة الأكبر (83%) من العنوان 193[.]24[.]123[.]42، المستضاف بواسطة PROSPERO OOO (AS200593)، والذي صنفه محللو Censys كنظام مستقل محصن يُستخدم لاستهداف منتجات برمجية متنوعة.

تصاعد النشاط وتكتيكات الهجوم

شهد يوم 8 فبراير ارتفاعاً حاداً في الهجمات، حيث تم تسجيل 269 جلسة في يوم واحد، وهو ما يعادل 13 ضعف المتوسط اليومي البالغ 22 جلسة. ومن بين إجمالي جلسات الاستغلال، استخدمت 85% منها استدعاءات DNS بأسلوب OAST للتحقق من القدرة على تنفيذ الأوامر، مما يشير إلى نشاط وسطاء الوصول الأولي.

تجاوز قوائم الحظر التقليدية

أشار الباحثون إلى أن عنوان IP التابع لـ PROSPERO OOO غير موجود في قوائم مؤشرات الاختراق (IOCs) المنشورة على نطاق واسع. هذا يعني أن المدافعين الذين يعتمدون فقط على القوائم العامة قد يغفلون عن مصدر الاستغلال الرئيسي. في المقابل، تضمنت بعض القوائم المنشورة عناوين IP لشبكة Windscribe VPN كانت تقوم بمسح مثيلات Oracle WebLogic ولكن دون نشاط استغلال لـ Ivanti.

أهداف متعددة للمهاجم

لا يقتصر هذا العنوان على استهداف Ivanti فحسب، بل استغل في الوقت نفسه ثلاث ثغرات أخرى:

  • ثغرة CVE-2026-21962 في Oracle WebLogic (استحوذت على حصة الأسد بـ 2,902 جلسة).
  • ثغرة CVE-2026-24061 في GNU Inetutils Telnetd (497 جلسة).
  • ثغرة CVE-2025-24799 في GLPI.

الحلول والتوصيات الأمنية

أوضحت Ivanti أن الإصلاحات الحالية ليست دائمة، ووعدت بإصدار تصحيحات كاملة في الربع الأول من هذا العام مع إطلاق إصدار EPMM 12.8.0.0. وحتى ذلك الحين، يوصى باستخدام حزم RPM المحددة للإصدارات المتأثرة (12.5.0.x إلى 12.7.0.x).

كما نوهت الشركة إلى أن النهج الأكثر أماناً هو بناء مثيل EPMM بديل وترحيل جميع البيانات إليه كإجراء احترازي لضمان سلامة الأنظمة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##Ivanti ##ثغرات_أمنية ##هجمات_إلكترونية

الأسئلة الشائعة

تشير البيانات إلى أن عنوان IP واحد (193.24.123.42) مستضاف بواسطة PROSPERO OOO مسؤول عن 83% من الهجمات.

بالإضافة إلى Ivanti، يستهدف المهاجم أنظمة Oracle WebLogic و GNU Inetutils Telnetd و GLPI.

يجب استخدام حزم RPM المؤقتة التي وفرتها الشركة أو بناء مثيل EPMM جديد وترحيل البيانات إليه حتى صدور التحديث الدائم.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!