أعلنت شركة Ivanti عن طرح تحديثات أمنية لمعالجة ثغرتين خطيرتين في نظام Endpoint Manager Mobile (EPMM)، تم استغلالهما بالفعل في هجمات صفرية. الثغرتان تحملان المعرفين CVE-2026-1281 وCVE-2026-1340، وكلاهما بتصنيف خطورة حرج (CVSS 9.8)، حيث تسمحان بحقن التعليمات البرمجية وتنفيذ أوامر عن بُعد دون الحاجة إلى مصادقة.
تؤثر هذه الثغرات على إصدارات متعددة من EPMM، بما في ذلك 12.5.0.0 وما قبلها، 12.6.0.0 وما قبلها، و12.7.0.0 وما قبلها، إضافة إلى بعض إصدارات 12.5.1.0 و12.6.1.0. وقد تم إصلاحها عبر حزم RPM مؤقتة، على أن تتم المعالجة الدائمة في الإصدار 12.8.0.0 المتوقع صدوره خلال الربع الأول من 2026.
استغلال محدود وتحذيرات رسمية
أوضحت الشركة أن عدداً محدوداً من العملاء تعرضوا للاستغلال عند الكشف عن الثغرات، لكنها لم تتمكن من تحديد أساليب المهاجمين بشكل كامل. الثغرتان تؤثران على ميزات توزيع التطبيقات الداخلية وإعدادات نقل الملفات عبر أندرويد، بينما لا تشمل منتجات أخرى مثل Ivanti Neurons for MDM أو Ivanti Sentry.
وقد دفعت خطورة الثغرة الأولى CVE-2026-1281 وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) إلى إضافتها في كتالوج الثغرات المستغلة (KEV)، مع إلزام الوكالات الفيدرالية المدنية بتطبيق التحديثات قبل الأول من فبراير 2026.
طرق الاستغلال وآليات الكشف
تشير التحليلات التقنية إلى أن المهاجمين غالباً ما يعتمدون على نشر Web Shells أو Reverse Shells لضمان الاستمرارية داخل الأجهزة المخترقة. نجاح الاستغلال يمنح المهاجمين القدرة على تنفيذ تعليمات برمجية عشوائية، والتحرك أفقياً داخل الشبكة، والوصول إلى بيانات حساسة عن الأجهزة المُدارة.
وللكشف عن محاولات الاستغلال، نصحت Ivanti بمراجعة سجل الوصول في Apache
حيث يمكن استخدام نمط Regex محدد لرصد محاولات الاستغلال، إذ تُظهر الاستخدامات الشرعية رمز استجابة HTTP 200، بينما تكشف المحاولات الخبيثة عن رمز 404.
إجراءات الاستجابة والتأمين
حثت الشركة العملاء على مراجعة أي تغييرات غير مصرح بها في إعدادات النظام، بما في ذلك إضافة أو تعديل حسابات المسؤولين، إعدادات المصادقة (SSO وLDAP)، التطبيقات المدفوعة للأجهزة، السياسات الجديدة أو المعدلة، وتغييرات الشبكة أو إعدادات VPN.
وفي حال وجود مؤشرات اختراق، أوصت Ivanti باستعادة الجهاز من نسخة احتياطية موثوقة أو بناء جهاز بديل ونقل البيانات إليه، مع تنفيذ خطوات أساسية لتأمين البيئة، مثل:
- إعادة تعيين كلمات مرور حسابات EPMM المحلية.
- إعادة تعيين كلمات مرور حسابات LDAP وKDC.
- إلغاء واستبدال الشهادات العامة المستخدمة.
- إعادة تعيين كلمات مرور أي حسابات داخلية أو خارجية مرتبطة بالنظام.
