الأمن السيبراني
#أمن_سيبراني
#Ivanti
تحذير: ثغرات Ivanti خطيرة تسمح بالاختراق عن بُعد (2026)
كشفت شركة Ivanti رسمياً عن ثغرتين حرجتين في منصة إدارة الأجهزة المحمولة (EPMM)، تم رصدهما تحت الرموز CVE-2026-1281 وCVE-2026-1340، وتتعرضان حالياً للاستغلال النشط في هجمات Zero-day.
تسمح هذه الثغرات الأمنية للمهاجمين عن بُعد بحقن أكواد برمجية خبيثة وتنفيذها على الأجهزة المصابة دون الحاجة لأي مصادقة (Authentication). وقد حصلت كلتا الثغرتين على تقييم خطورة حرج يبلغ 9.8 على مقياس CVSS، مما يستدعي تحركاً فورياً من مديري الأنظمة.
تفاصيل الثغرات وتأثيرها الأمني
أكدت Ivanti أنها رصدت عدداً محدوداً جداً من العملاء الذين تعرضت أنظمتهم للاستغلال وقت الكشف عن الثغرة. ويمنح الاستغلال الناجح للمهاجمين قدرة كاملة على تنفيذ أوامر عشوائية على جهاز EPMM، مما يفتح الباب للوصول إلى كميات ضخمة من البيانات الحساسة.
تشمل البيانات المعرضة للخطر أسماء المسؤولين والمستخدمين، عناوين البريد الإلكتروني، ومعلومات الأجهزة المدارة مثل أرقام الهواتف، عناوين IP، التطبيقات المثبتة، ومعرفات الأجهزة مثل IMEI وMAC addresses. وفي حال تفعيل تتبع الموقع، يمكن للمهاجمين معرفة الإحداثيات الجغرافية (GPS) للأجهزة.
كيفية الكشف عن الاختراق
أشارت الشركة إلى أن الثغرات يتم تفعيلها عبر ميزات "توزيع التطبيقات الداخلية" و"تكوين نقل ملفات Android". يمكن للمسؤولين التحقق من سجلات الوصول في Apache (المسار: /var/log/httpd/https-access_log) للبحث عن أي نشاط مشبوه.
زودت الشركة المدافعين بتعبير نمطي (Regular Expression) للبحث في السجلات:
^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
هذا التعبير يظهر الطلبات الخارجية التي تستهدف نقاط النهاية الضعيفة وتعود برمز خطأ 404. توضح Ivanti أن الطلبات الشرعية تعود عادة برمز 200، بينما محاولات الاستغلال (سواء نجحت أم فشلت) تعود برمز 404، مما يجعلها مؤشراً قوياً على الاستهداف.
خطوات المعالجة والحلول المؤقتة
أطلقت Ivanti نصوص RPM برمجية للتخفيف من حدة الثغرات للإصدارات المتأثرة (12.x.0.x و 12.x.1.x). وأكدت الشركة أن تطبيق هذه الإصلاحات لا يتطلب توقف النظام عن العمل ولا يؤثر على وظائفه، لكنها حذرت من أن هذه الإصلاحات السريعة لا تبقى بعد ترقية النظام ويجب إعادة تطبيقها.
من المتوقع صدور إصلاح دائم في الإصدار EPMM 12.8.0.0 المقرر طرحه في الربع الأول من عام 2026. وفي حال الشك بتعرض الجهاز للاختراق، تنصح الشركة بعدم محاولة تنظيف النظام، بل استعادته من نسخة احتياطية موثوقة تم أخذها قبل الاختراق، أو إعادة بناء الجهاز ونقل البيانات.
تحذيرات CISA والإجراءات الحكومية
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة CVE-2026-1281 إلى كتالوج الثغرات المستغلة المعروفة (KEV)، مؤكدة وجود استغلال نشط لها. وقد أُمهلت الوكالات الفيدرالية حتى 1 فبراير 2026 لتطبيق الحلول أو إيقاف الأنظمة الضعيفة عن العمل.
بعد استعادة الأنظمة، توصي Ivanti بإعادة تعيين كلمات مرور الحسابات المحلية، وحسابات خدمات LDAP/KDC، واستبدال الشهادات العامة المستخدمة، لضمان تأمين البيئة التقنية بالكامل.
الأسئلة الشائعة
تسمح الثغرات للمهاجمين بتنفيذ أكواد برمجية عن بُعد دون مصادقة، مما يمنحهم وصولاً كاملاً لبيانات الأجهزة والمستخدمين، بتصنيف خطورة حرج 9.8.
يمكن الكشف عنها بمراجعة سجلات Apache والبحث عن طلبات خارجية تعود برمز خطأ 404 باستخدام التعبير النمطي الذي وفرته الشركة.
لا تنصح Ivanti بتنظيف النظام، بل يجب استعادة النظام من نسخة احتياطية آمنة سابقة للاختراق أو إعادة بناء الجهاز بالكامل وتغيير جميع كلمات المرور.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!