تكشف ثغرات أمنية خطيرة تم اكتشافها مؤخرًا، والمعروفة بتعريفات CVE-2026-1281 و CVE-2026-1340، عن استغلال متزايد من قبل جهات خبيثة تستهدف بشكل متكرر برمجيات Ivanti، مما يضع الأمن السيبراني للعديد من المؤسسات على المحك.
صنفت وكالة الأمن السيبراني والبنية التحتية (CISA) الثغرة الأولى CVE-2026-1281 ضمن قائمة الثغرات المستغلة المعروفة، بينما لم يتم إدراج الثانية CVE-2026-1340 حتى الآن، رغم تأكيد Ivanti على استغلال كلتيهما. تحمل الثغرتان تصنيف خطورة عالٍ يقدر بـ 9.8، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عن بعد دون الحاجة إلى مصادقة، وذلك في برنامج Ivanti Endpoint Manager Mobile (EPMM)، المسؤول عن إدارة الأجهزة والتطبيقات المحمولة.
ثغرات Ivanti: نمط متكرر وتحديات أمنية
يشير هذا الاكتشاف إلى استمرار نمط أمني مقلق يتعلق ببرمجيات Ivanti، حيث تستغل جهات خارجية عيوبًا خطيرة قد يكون اكتشافها وإصلاحها قبل وقوع الهجمات أمرًا صعبًا. وقد أكدت Ivanti أن عددًا محدودًا من العملاء تأثر بالهجمات قبل الإبلاغ عن الثغرات ومعالجتها.
ولم تحدد الشركة حجم الأضرار التي لحقت بالعملاء المتأثرين، إلا أن خبراء الأمن يحذرون من أن الأنماط المتكررة تشير إلى احتمالية وقوع هجمات واسعة النطاق بعد فترة قصيرة من الإعلان العام عن الثغرات وتوفر أدوات استغلالها.
من جهتها، أضافت وكالة CISA الثغرة CVE-2026-1281 إلى قائمتها، وهو ما يعكس الأولوية المعطاة لمعالجة التهديدات التي تشكل خطرًا مباشرًا. وعلى الرغم من أن الثغرتين لم يتم استغلالهما معًا حتى الآن، إلا أن استقلاليتهما تزيد من خطورتهما.
تركيز المهاجمين على EPMM
تسلط الهجمات الأخيرة الضوء على تركيز متزايد من قبل المهاجمين على برنامج EPMM بشكل خاص، حيث تم الكشف عن مجموعة أخرى من الثغرات في نفس المنتج في مايو 2025. هذا التركيز يشير إلى أن المهاجمين يرون في هذه المنصة نقطة ضعف استراتيجية للوصول إلى شبكات المؤسسات.
وفقًا لبيانات Shadowserver، تم رصد محاولات استغلال للثغرة CVE-2026-1281 من عدة عناوين IP، وتشير التقديرات إلى وجود أكثر من 1,400 نسخة من Ivanti EPMM معرضة للإنترنت، مما يزيد من مساحة الهجوم المحتملة.
يشدد خبراء الأمن على أهمية افتراض أن أي نسخة مكشوفة للإنترنت قد تكون مستغلة، داعين المؤسسات إلى اتخاذ إجراءات استباقية مثل سحب البنية التحتية وبدء عمليات الاستجابة للحوادث.
توصيات Ivanti وإجراءات الحماية
نصحت Ivanti جميع العملاء الذين يستخدمون EPMM على أنظمتهم المحلية بتطبيق التحديثات الأمنية اللازمة، مع التنبيه إلى أن بعض الحلول المؤقتة قد يتم تجاوزها عند ترقية البرنامج إلى إصدارات أحدث. وأكدت الشركة أن تطبيق الحزم الأمنية لا يستغرق وقتًا طويلاً ولا يتسبب في انقطاع الخدمة، مما يعزز حماية العملاء.
من ناحية أخرى، أشارت Ivanti إلى أنها ستصدر تحديثًا دائمًا لمعالجة الثغرة في وقت لاحق، لكنها لم تحدد موعدًا لذلك. هذا التأخير قد يترك بعض المؤسسات عرضة للخطر لفترة إضافية.
وتشبه الثغرات الجديدة تلك التي تم اكتشافها سابقًا في EPMM، حيث يتم طمس الخط الفاصل بين مدخلات المهاجم والتعليمات البرمجية الموثوقة، مما يفتح الباب لتنفيذ أكواد خبيثة.
تاريخ من الثغرات وسيناريوهات الاختراق
تعد الثغرات القابلة للاستغلال عن بعد في أجهزة الشبكات الخارجية وسيلة جذابة وفعالة للمتسللين لاختراق الشبكات المستهدفة. وقد استغلت مجموعات تهديد متعددة، بما في ذلك تلك المرتبطة بالصين، ثغرة أخرى في EPMM (CVE-2025-4428) وسلسلة من الثغرات في منتجات Ivanti أخرى في العام الماضي.
ويشير هذا النمط إلى استمرار معركة طويلة الأمد بين الشركة ومجموعات التهديد، مما يشكل خطرًا مستمرًا على العملاء. وربط بعض الباحثين الأمنيين المشكلة المستمرة بالأداء الأمني لشركة Ivanti نفسها.
في المقابل، هناك اتفاق واسع على أن هذه الثغرات لم تكن سهلة الاكتشاف من قبل الشركة قبل وقوع الاستغلال. ووصف الباحثون العيوب بأنها تتطلب فهمًا دقيقًا للمسارات غير الواضحة لحقن الأكواد.
وبينما يقر الخبراء بصعوبة اكتشاف هذه الثغرات، إلا أنهم يؤكدون على ضرورة افتراض أن المهاجمين سيجدون دائمًا المسارات غير الظاهرة، لأنهم يفعلون ذلك باستمرار.
وفي تعليقها، أكدت متحدثة باسم Ivanti أن هذا النوع من الثغرات صعب الكشف، مشددة على أن فرق الأمن والهندسة في الشركة تحركت بسرعة لمعالجة العيوب بمجرد تحديدها، ملتزمة بتقديم حلول آمنة وموثوقة لعملائها.