أصدرت شركة إيفانتي تحديثات أمنية لمعالجة ثغرتين أمنيتين (CVE-2026-1281 و CVE-2026-1340) تؤثران على برنامج Ivanti Endpoint Manager Mobile (EPMM)، وقد تم استغلال إحداهما في هجمات “اليوم صفر”.
تمت إضافة الثغرة الأولى، التي تحمل تصنيف “حرجة”، إلى قائمة الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) للثغرات المعروفة والمستغلة (KEV)، مما يفرض على الجهات الحكومية الفيدرالية اتخاذ إجراءات عاجلة.
تحديثات أمنية لمعالجة ثغرات Ivanti EPMM
تتعلق الثغرتان بردع تنفيذ الأكواد عن بعد بشكل غير مصرح به، وتؤثران على إصدارات مختلفة من برنامج EPMM، بما في ذلك 12.5.0.0 وما قبلها، و 12.6.0.0 وما قبلها، و 12.7.0.0 وما قبلها. تتمثل الحلول المتاحة حاليًا في تثبيت حزم الإصلاح (RPMs)، ومن المتوقع إصدار تحديث دائم لمعالجة هذه الثغرات في الإصدار 12.8.0.0.
وقالت شركة إيفانتي إنها على علم باستغلال محدود لهذه الثغرات لدى بعض العملاء، ولكنها لا تملك معلومات كافية عن تكتيكات الجهات المهاجمة لتقديم مؤشرات دقيقة. وأشارت الشركة إلى أن هاتين الثغرتين تؤثران حصريًا على ميزات توزيع التطبيقات الداخلية ونقل الملفات عبر نظام أندرويد، ولا تشملان منتجات أخرى مثل Ivanti Neurons for MDM.
طرق الاستغلال المحتملة والآثار المترتبة
بحسب التحليل الفني المقدم من إيفانتي، فإن استغلال الثغرات بنجاح يتيح للمهاجمين تنفيذ أكواد بشكل عشوائي على الجهاز المستهدف. إضافة إلى ذلك، قد يمنح هذا الاختراق وصولاً جانبياً إلى البيئات المتصلة، وقد يكشف عن معلومات حساسة تتعلق بالأجهزة التي تتم إدارتها بواسطة البرنامج.
أشارت الشركة إلى أن الآثار المترتبة على الاستغلال تشمل نشر “غرف ويب” (web shells) و”غرف عكسية” (reverse shells) لضمان الاستمرارية في الجهاز المخترق.
كيفية اكتشاف الاستغلال والتحقق من الأمان
تنصح إيفانتي المستخدمين بمراقبة سجلات الوصول الخاصة بـ Apache، وبالتحديد الملف ”/var/log/httpd/https-access_log”، للبحث عن علامات 404 HTTP response codes عند الوصول إلى مسارات محددة تتعلق بميزات توزيع التطبيقات (مثل “/mifs/c/(aft|app)store/fob/”).
وفي المقابل، فإن الاستخدام الطبيعي لهذه الميزات يسفر عن رموز استجابة HTTP 200. إضافة إلى ذلك، يجب على العملاء مراجعة التكوينات بحثًا عن أي تغييرات غير مصرح بها، بما في ذلك إضافة مسؤولين جدد، أو تعديل إعدادات المصادقة، أو إضافة تطبيقات جديدة، أو تغيير سياسات، أو استحداث تغييرات في تكوينات الشبكة.
خطوات الاستجابة والتعافي
في حال اكتشاف علامات اختراق، توصي إيفانتي باستعادة الجهاز المستهدف من نسخة احتياطية موثوقة، أو إنشاء جهاز EPMM جديد ونقل البيانات إليه. بعد ذلك، يتوجب القيام بخطوات أمنية إضافية تشمل إعادة تعيين كلمات المرور لحسابات EPMM المحلية، وحسابات خدمة LDAP و KDC، وإلغاء وإعادة إصدار الشهادات العامة، بالإضافة إلى إعادة تعيين كلمات مرور أي حسابات خدمة داخلية أو خارجية أخرى.
جاءت هذه التطورات لتؤكد على أهمية التحديثات الأمنية المستمرة، خاصة في ظل تزايد التهديدات السيبرانية التي تستهدف البنية التحتية الرقمية للمؤسسات.