كشفت شركتان للأمن السيبراني عن وجود ثغرتين أمنيتين حرجتين من نوع “صفر يوم” في برنامج Ivanti EPMM، مما يمثل تهديداً خطيراً للشبكات المؤسسية. وتم رصد حملات استغلال نشطة لهذه الثغرات تستهدف البنية التحتية للشركات في عدة دول، مما يستدعي اتخاذ إجراءات فورية لحماية الأنظمة.
تسمح هاتان الثغرتان، اللتان تم تعريفهما على أنهما CVE-2026-1281 و CVE-2026-1340، للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية عشوائية عن بعد على الخوادم المستهدفة دون الحاجة إلى أي تفاعل من المستخدم أو بيانات اعتماد. وقد تأثرت بالفعل منظمات في الولايات المتحدة وألمانيا وأستراليا وكندا بهذه الثغرات.
ثغرات Ivanti EPMM الأمنية واستغلالها
تعتبر هذه الثغرات خطيرة بشكل خاص لأنها تمنح المهاجمين سيطرة كاملة على البنية التحتية لإدارة الأجهزة المحمولة. وبالتالي، يمكن للمهاجمين إنشاء اتصالات خلفية، وتثبيت “ويب شل” (web shells) للتحكم عن بعد، وإجراء عمليات استطلاع، وتنزيل برامج ضارة. وقد وثقت وحدة 42 (Unit 42) محاولات استغلال آلية واسعة النطاق منذ الكشف عن الثغرات في يناير 2026.
قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإضافة CVE-2026-1281 بسرعة إلى كتالوج نقاط الضعف المعروفة والمستغلة، نظراً لخطورتها واستغلالها النشط. من جهتها، حدد باحثو Palo Alto Networks ما يقرب من 4,400 نسخة من Ivanti EPMM متاحة عبر الإنترنت من خلال أنظمة المراقبة الخاصة بهم.
يلاحظ المحللون أن الجهات الفاعلة في مجال التهديدات تسرع عملياتها بشكل متزايد. فهم ينتقلون بسرعة من مرحلة الاستطلاع الأولية إلى نشر أبواب خلفية خاملة مصممة للحفاظ على الوصول طويل الأمد، حتى بعد قيام المؤسسات بتطبيق تصحيحات الأمان. هذا يشير إلى تكيف المهاجمين مع استراتيجياتهم لضمان الوصول المستمر إلى الشبكات المخترقة.
آليات الهجوم والأنشطة الخبيثة
تنبع الثغرتان الأمنيتان من الاستخدام غير الآمن لنصوص Bash البرمجية في المكونات القديمة التي تعالج إعادة كتابة عناوين URL ضمن تكوين خادم الويب Apache. تؤثر CVE-2026-1281 على النصوص البرمجية المستخدمة لميزة توزيع التطبيقات الداخلية، بينما تؤثر CVE-2026-1340 على آلية نقل الملفات لنظام Android.
خلال محاولات الاستغلال، قام المهاجمون بنشر أنواع متعددة من البرامج الضارة والأدوات لاختراق الأنظمة الضعيفة. لاحظ باحثو الأمن تثبيت “ويب شل” خفيفة الوزن بتنسيق JSP، مثل 401.jsp و 403.jsp و 1.jsp، ووضعها في دليل تطبيقات الويب الخاص بالخادم.
عند نجاح هذه الهجمات، تمنح هذه “الشل” تحكماً إدارياً إذا كان خادم الويب يعمل بصلاحيات مرتفعة. تظهر تنسيقات الأوامر التي تستهدف الخوادم الضعيفة، بالإضافة إلى أنماط عناوين URL من محاولات الاستغلال. كما حاول المهاجمون تنزيل وكيل المراقبة Nezha، وهو أداة خادم مفتوحة المصدر، بمعلمات محددة لاستهداف الضحايا في الصين.
تضمنت بعض الحملات تنزيل حمولات مرحلية ثانية تقوم بتثبيت برامج تعدين العملات المشفرة أو أبواب خلفية دائمة على الأجهزة المخترقة. بالإضافة إلى ذلك، استخدم المهاجمون أوامر “sleep” كوسيلة استطلاع لتحديد مدى ضعف الخادم.
أصدرت Ivanti تصحيحات خاصة بالإصدارات (RPM 12.x.0.x أو RPM 12.x.1.x) لا تتطلب أي توقف للخدمة وتستغرق ثوانٍ معدودة للتطبيق. يجب على المؤسسات فوراً تصحيح الأنظمة الضعيفة ومراجعة الأجهزة بحثاً عن علامات الاستغلال التي قد تكون حدثت قبل التطبيق. كما وفرت الشركة نصاً للكشف عن الاستغلال لمساعدة العملاء في تحديد الاختراقات المحتملة.
توصي وحدة 42 المؤسسات باعتماد عقلية “الافتراض بوجود اختراق” والتعامل مع أي اكتشاف للمؤشرات كاختراق محتمل يتطلب مزيداً من التدقيق لضمان عدم وجود ثغرات أمنية مستمرة.