أضافت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ثغرة أمنية خطيرة في برنامج Ivanti Endpoint Manager إلى سجل الثغرات المعروفة والمستغلة، مما يسلط الضوء على مخاطرها المتزايدة على المؤسسات.
تُعرف هذه الثغرة بالمعرف CVE-2026-1603، وتؤثر على جميع إصدارات Ivanti Endpoint Manager قبل الإصدار 2024 SU5. وتسمح هذه الثغرة للمهاجم بالوصول عن بعد ودون الحاجة إلى أي بيانات اعتماد صالحة، بسرقة بيانات الاعتماد الحساسة المخزنة في النظام.
يُعد Ivanti Endpoint Manager، المعروف اختصاراً بـ EPM، منصة إدارة نقاط النهاية الأساسية التي تستخدمها المؤسسات على نطاق واسع لإدارة وتأمين أعداد كبيرة من الأجهزة عبر شبكاتها. نظراً لموقعه المركزي في بنية إدارة الأجهزة للمؤسسة، فإن أي ثغرة تكشف عن بيانات الاعتماد المخزنة يمكن أن تكون لها عواقب وخيمة.
تم تصنيف الثغرة ضمن فئة CWE-288، والتي تصف تجاوز المصادقة عبر مسار أو قناة بديلة. وهذا يعني أن المنتج يوفر مسار وصول ثانوي يتجاوز عملية المصادقة والتحقق العادية تمامًا.
خطر ثغرة تجاوز المصادقة في Ivanti Endpoint Manager
حددت وكالة CISA هذه الثغرة على أنها مستغلة بنشاط في البرية، مما يؤكد أنها تشكل تهديداً فورياً وخطيراً لكل من الوكالات الفيدرالية وبيئات المؤسسات الخاصة. تم الإبلاغ عن هذه الثغرة في الأصل لشركة Ivanti في نوفمبر 2024، وتم الكشف عنها لاحقاً من خلال برنامج Zero Day Initiative التابع لشركة Trend Micro.
استجابةً لإدراجها في سجل الثغرات المستغلة، صدر توجيه رسمي للوكالات الفيدرالية ضمن التوجيه التشغيلي الملزم BOD 22-01، يتطلب من جميع الأنظمة المتأثرة أن يتم تحديثها بالكامل في موعد أقصاه 23 مارس 2026. هذا الإجراء يؤكد على خطورة الثغرة والحاجة الملحة لمعالجتها.
تأثير الثغرة والتهديدات المترتبة عليها
يمتد التأثير الكامل لثغرة CVE-2026-1603 إلى ما هو أبعد من مجرد تسرب البيانات. أكد الباحثون أن الاستغلال الناجح يمنح المهاجم وصولاً مباشراً إلى خزان بيانات اعتماد EPM (Credential Vault)، مما يتيح سرقة تجزئات كلمات مرور مسؤولي النطاق (Domain Administrator) وبيانات اعتماد حسابات الخدمة المخزنة داخل نظام الإدارة. وبحيازة هذه البيانات، يمكن للمهاجم التحرك جانبياً عبر الشبكة المستهدفة، والوصول إلى أنظمة إضافية، وتصعيد الامتيازات بأقل جهد.
تعد هذه الثغرة مقلقة بشكل خاص لأنها لا تتطلب أي مصادقة مسبقة على الإطلاق. وأي مهاجم لديه وصول على مستوى الشبكة إلى خادم إدارة EPM يمكنه تنفيذ الهجوم.
كيف يستغل المهاجمون ثغرة تجاوز المصادقة
المصدر الفني لـ CVE-2026-1603 هو خلل في تسلسل رؤوس HTTP غير الصحيحة داخل نقطة نهاية معينة في تطبيق EPM. لم تخضع بعض استدعاءات واجهة برمجة التطبيقات (API) في Ivanti EPM لنفس ضوابط المصادقة التي تحكم بقية البرنامج، مما ترك مسار وصول غير محمي يمكن للمهاجمين استخدامه دون تقديم بيانات اعتماد صالحة.
كشفت الأبحاث أن تنفيذ الاستغلال سهل بشكل مدهش. من خلال إرسال طلب HTTP مُجهز يتضمن قيمة رقمية محددة تُعرف بالرقم السحري، وهو الرقم 64، يمكن للمهاجم الوصول مباشرة إلى نقاط النهاية المحمية في EPM وسحب “فقاعات” بيانات الاعتماد المشفرة المرتبطة بحسابات ذات امتيازات عالية. هذا يقوض بشكل فعال نموذج الثقة الخاص بإدارة نقاط النهاية الذي تعتمد عليه المؤسسات للحفاظ على أمان منظومات أجهزتها.
علاوة على ذلك، يمكن ربط CVE-2026-1603 مع ثغرة حقن SQL مصاحبة، CVE-2026-1602، والتي تسمح لمهاجم مصادق عليه بشكل منفصل بقراءة سجلات عشوائية من قاعدة بيانات EPM، مما يجعل الاستغلال المشترك سيناريو تهديد خطير وواقعي بشكل خاص.
يجب على المؤسسات التي تشغل Ivanti EPM الترقية فوراً إلى الإصدار 2024 SU5، وهو الإصدار الوحيد الذي تم فيه معالجة هذه الثغرة. بالنسبة للفرق غير القادرة على تطبيق التصحيح على الفور، توصي CISA بحظر الوصول إلى الإنترنت الخارجي لمنافذ إدارة EPM 80 و 443، وفرض قائمة وصول صارمة للعناوين IP بحيث يمكن فقط للمضيفين الإداريين الموثوق بهم التواصل مع الخادم.
يجب على فرق الأمن أيضاً مراقبة سجلات المصادقة بحثاً عن وصول غير متوقع إلى الموارد المحمية ومراقبة طلبات API غير العادية من عناوين خارجية غير معروفة. بالنسبة للمؤسسات التي تستخدم عمليات النشر المستندة إلى السحابة، يجب عليها اتباع توجيهات BOD 22-01 المعمول بها. وعندما لا تكون التخفيفات ممكنة، تنصح CISA بالتوقف عن استخدام المنتج حتى يمكن نشر تصحيح.