أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الاثنين خمس ثغرات أمنية تؤثر على منتجي Advantive VeraCore وIvanti Endpoint Manager (EPM) إلى قائمة الثغرات المعروفة المستغلة (KEV)، وذلك بناءً على أدلة تشير إلى استغلالها بنشاط في الهجمات الإلكترونية.
قائمة الثغرات المضافة:
- CVE-2024-57968: ثغرة تحميل ملفات غير مقيدة في Advantive VeraCore، تسمح لمهاجم غير مصرح له بتحميل ملفات إلى مجلدات غير مقصودة عبر upload.apsx.
- CVE-2025-25181: ثغرة حقن SQL في Advantive VeraCore، تتيح لمهاجم تنفيذ أوامر SQL عشوائية.
- CVE-2024-13159: ثغرة اجتياز مسار مطلق في Ivanti EPM، تسمح لمهاجم غير مصرح له بتسريب معلومات حساسة.
- CVE-2024-13160: ثغرة اجتياز مسار مطلق أخرى في Ivanti EPM، تسمح بتسريب معلومات حساسة.
- CVE-2024-13161: ثغرة اجتياز مسار مطلق ثالثة في Ivanti EPM، تهدف أيضًا إلى تسريب معلومات حساسة.
استغلال الثغرات:
تم ربط استغلال ثغرات VeraCore بمجموعة تهديدات فيتنامية يُحتمل أن تكون تابعة لـXE Group، حيث لوحظ استخدامها لأدوات مثل reverse shells وweb shells للحفاظ على وصول بعيد ودائم إلى الأنظمة المخترقة.
من ناحية أخرى، لا توجد تقارير عامة حتى الآن حول كيفية استغلال الثغرات الثلاث في Ivanti EPM في هجمات حقيقية. ومع ذلك، قامت شركة Horizon3.ai بنشر دليل مفهوم (PoC) لاستغلال هذه الثغرات الشهر الماضي، ووصفتها بأنها “أخطاء إجبار بيانات الاعتماد” التي يمكن أن تسمح لمهاجم غير مصرح له باختراق الخوادم.
توصيات CISA:
في ضوء الاستغلال النشط لهذه الثغرات، شددت CISA على ضرورة قيام وكالات الفرع التنفيذي الفيدرالي المدني (FCEB) بتطبيق التحديثات الأمنية اللازمة بحلول 31 مارس 2025.
تطورات أخرى:
جاء هذا الإعلان بالتزامن مع تحذير شركة استخبارات التهديدات GreyNoise من استغلال واسع النطاق للثغرة CVE-2024-4577، وهي ثغرة حرجة تؤثر على PHP-CGI، حيث تم رصد ذروة في أنشطة الهجوم تستهدف دولًا مثل اليابان، سنغافورة، إندونيسيا، المملكة المتحدة، إسبانيا، والهند.
وقالت GreyNoise: “أكثر من 43% من عناوين IP التي استهدفت الثغرة CVE-2024-4577 خلال الـ30 يومًا الماضية تعود إلى ألمانيا والصين”، مشيرة إلى أنها “رصدت ذروة منسقة في محاولات الاستغلال ضد شبكات في دول متعددة، مما يشير إلى عمليات مسح تلقائي إضافية للعثور على أهداف ضعيفة”.
