أظهر تقرير من شركة GreyNoise أن غالبية محاولات استغلال الثغرة الحرجة CVE-2026-1281 في نظام Ivanti Endpoint Manager Mobile (EPMM) تعود إلى عنوان IP واحد (193.24.123[.]42) يعمل على بنية استضافة محصنة تابعة لـ PROSPERO. بين 1 و9 فبراير 2026، تم تسجيل 417 جلسة استغلال من 8 عناوين IP مختلفة، منها 346 جلسة (83%) مصدرها هذا العنوان وحده. الثغرة تحمل درجة خطورة CVSS: 9.8 وتتيح تنفيذ تعليمات برمجية عن بُعد دون مصادقة، إلى جانب ثغرة أخرى مرتبطة هي CVE-2026-1340.
استهداف واسع النطاق
منذ الكشف عن الثغرات، أعلنت عدة جهات أوروبية مثل المفوضية الأوروبية ومجلس القضاء الهولندي وهيئة حماية البيانات الهولندية (AP) ووكالة Valtori الفنلندية أنها تعرضت لمحاولات استغلال. هذا يبرز أن الهجمات ليست عشوائية، بل تستهدف بنى تحتية حكومية ومؤسسية حساسة.
نشاط متزامن عبر ثغرات أخرى
التحليل أظهر أن نفس المضيف استغل ثلاث ثغرات أخرى في منتجات مختلفة:
- CVE-2026-21962 في Oracle WebLogic (2,902 جلسة).
- CVE-2026-24061 في GNU InetUtils telnetd (497 جلسة).
- CVE-2025-24799 في GLPI (200 جلسة).
كما لوحظ أن المهاجمين يستخدمون أكثر من 300 سلسلة User Agent مختلفة، ما يشير إلى أدوات آلية متقدمة لإخفاء البصمة وتوسيع نطاق الهجوم.
تكتيكات الوصول الأولي
بحسب شركة Defused Cyber، تم رصد حملة “Sleeper Shell” التي زرعت محمل Java في الذاكرة داخل مسار /mifs/403.jsp في أنظمة EPMM، بهدف إنشاء موطئ قدم أولي يمكن بيعه أو تسليمه لاحقاً لمهاجمين آخرين. هذا السلوك يتماشى مع تكتيكات Initial Access Brokers الذين يركزون على التحقق من قابلية الاستغلال قبل نشر أدوات إضافية.
توصيات أمنية
ينصح خبراء الأمن المؤسسات بما يلي:
- تطبيق التحديثات الأمنية فوراً.
- مراجعة البنية التحتية الخاصة بإدارة الأجهزة المحمولة (MDM) المتصلة بالإنترنت.
- فحص سجلات DNS لرصد أنماط OAST callbacks.
- مراقبة المسار /mifs/403.jsp في أنظمة EPMM.
- حجب النظام المستقل AS200593 المرتبط بـ PROSPERO عند حدود الشبكة.
تؤكد Ivanti أن تثبيت التحديثات لا يتطلب وقت توقف ويُعد الوسيلة الأكثر فعالية لمنع الاستغلال، بغض النظر عن تغيّر مؤشرات الاختراق بمرور الوقت.
