أضافت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) ثلاث ثغرات أمنية جديدة إلى قائمة الثغرات المستغلة فعلياً (KEV)، وذلك بعد رصد أدلة على استغلالها من قبل جهات تهديد نشطة. هذه الخطوة تأتي في إطار جهود الوكالة لتقليص المخاطر التي تهدد المؤسسات الفيدرالية، خاصة مع تزايد الهجمات التي تستهدف أنظمة إدارة الشبكات والدعم الفني.
ثغرات مصنفة عالية الخطورة
تشمل القائمة الجديدة ثلاث ثغرات متفاوتة الخطورة:
- CVE-2021-22054 بدرجة خطورة 7.5، وهي ثغرة من نوع Server-Side Request Forgery (SSRF) في منصة Omnissa Workspace One UEM (المعروفة سابقاً باسم VMware Workspace One UEM). تسمح هذه الثغرة للمهاجمين بإرسال طلبات غير مصرح بها والوصول إلى بيانات حساسة.
- CVE-2025-26399 بدرجة خطورة 9.8، وهي ثغرة في مكون AjaxProxy ضمن نظام SolarWinds Web Help Desk، وتتيح للمهاجم تنفيذ أوامر على الخادم المستهدف عبر بيانات غير موثوقة.
- CVE-2026-1603 بدرجة خطورة 8.6، وهي ثغرة تجاوز مصادقة في Ivanti Endpoint Manager، يمكن أن تسمح لمهاجم عن بُعد غير مصرح له بتسريب بيانات اعتماد مخزنة.
خلفيات الاستغلال والهجمات المرتبطة
أشارت تقارير من مايكروسوفت وشركة Huntress إلى أن ثغرة SolarWinds Web Help Desk يتم استغلالها بالفعل من قبل مجموعة Warlock المرتبطة بهجمات الفدية، حيث تُستخدم للحصول على وصول أولي إلى الأنظمة المستهدفة.
أما ثغرة Workspace One UEM فقد رصدتها منصة GreyNoise في مارس 2025 ضمن حملة منسقة استهدفت منتجات متعددة عبر ثغرات SSRF مشابهة.
في المقابل، لا تزال تفاصيل استغلال ثغرة Ivanti Endpoint Manager غير واضحة حتى الآن، حيث لم تُحدّث الشركة نشراتها الأمنية لتعكس حالة الاستغلال.
إجراءات عاجلة لمواجهة التهديدات
أصدرت وكالة CISA أوامر للوكالات الفيدرالية المدنية بضرورة تطبيق التحديثات الأمنية وفق جدول زمني صارم:
- إصلاح ثغرة SolarWinds Web Help Desk قبل 12 مارس 2026.
- إصلاح ثغرتي Workspace One UEM وIvanti Endpoint Manager قبل 23 مارس 2026.
وأكدت الوكالة أن هذه الأنواع من الثغرات تمثل “مسارات هجوم متكررة للمهاجمين السيبرانيين الخبيثين وتشكل مخاطر كبيرة على المؤسسات الفيدرالية”، مشددة على أن سرعة الاستجابة وتطبيق التصحيحات الأمنية أمر حاسم لتقليل فرص الاختراق.
السياق الأوسع للهجمات السيبرانية
تأتي هذه التحذيرات في وقت تتزايد فيه الهجمات على أنظمة إدارة الشبكات والدعم الفني، حيث تُعتبر هذه الأنظمة أهدافاً جذابة للمهاجمين نظراً لقدرتها على التحكم في بيئات واسعة داخل المؤسسات. كما أن استغلال ثغرات من نوع SSRF أو تجاوز المصادقة يفتح الباب أمام تسريب بيانات حساسة أو تنفيذ أوامر ضارة قد تؤدي إلى تعطيل الخدمات أو نشر برمجيات فدية.
