تُشير التقارير الأمنية الحديثة إلى أن موجة واسعة من محاولات استغلال ثغرة أمنية جديدة تم اكتشافها مؤخرًا في برنامج Ivanti Endpoint Manager Mobile (EPMM) تتمحور حول مصدر واحد، وهو عنوان IP يقع ضمن بنية تحتية لاستضافة “الرصاص الخارق” (bulletproof hosting)، تتبع لمزود يُدعى PROSPERO. هذه الظاهرة تثير قلقًا متزايدًا بشأن الأمن السيبراني.
سجلت شركة GreyNoise، المتخصصة في استخبارات التهديدات، 417 محاولة استغلال أمني من 8 عناوين IP مصدر فريدة خلال الفترة من 1 إلى 9 فبراير 2026. ومن اللافت للنظر أن 346 محاولة، أي ما يعادل 83% من الإجمالي، قد انطلقت من عنوان IP واحد هو 193.24.123[.]42.
ثغرة Ivanti EPMM الأمنية خطيرة
تستهدف هذه الأنشطة الخبيثة بشكل أساسي الثغرة الأمنية CVE-2026-1281، والتي تتمتع بمعامل خطورة CVSS يبلغ 9.8، وهي واحدة من ثغرتين حرجتين في EPMM. بالاشتراك مع الثغرة CVE-2026-1340، يمكن للمهاجمين استغلالهما لتنفيذ أوامر عن بُعد دون الحاجة للمصادقة. كانت Ivanti قد أقرت مؤخرًا بإصابة “عدد محدود جدًا من العملاء” نتيجة الاستغلال الصفري لهذه الثغرات.
وفي أعقاب ذلك، كشفت عدة وكالات أوروبية، بما في ذلك هيئة حماية البيانات الهولندية (AP)، والمجلس القضائي، والمفوضية الأوروبية، بالإضافة إلى هيئة Valtori الفنلندية، عن تعرضها لهجمات من قبل جهات فاعلة مجهولة تستغل هذه الثغرات.
تتبع حملات استغلال ثغرة Ivanti EPMM
أظهر التحليل المتعمق للوضع أن نفس المضيف (IP address) يقوم حاليًا باستغلال ثلاث ثغرات أخرى (CVEs) في برمجيات متنوعة وغير مرتبطة ببعضها البعض.
تنوع وكثافة عمليات الاستغلال
وفقًا لـ GreyNoise، فإن عنوان IP هذا “يتنقل عبر أكثر من 300 سلسلة وكيل مستخدم (user agent strings) فريدة، تشمل متصفحات Chrome، Firefox، Safari، وأنظمة تشغيل متعددة. هذا التنوع في البصمات، جنبًا إلى جنب مع الاستغلال المتزامن لأربعة منتجات برمجية غير مرتبطة، يتوافق مع طبيعة الأدوات الآلية (automated tooling)”.
من الجدير بالذكر أن PROSPERO يُعتقد أنه مرتبط بنظام تشغيل مستقل آخر يُدعى Proton66، والذي له تاريخ في توزيع برامج ضارة لنظامي التشغيل المكتبي والأندرويد، مثل GootLoader، Matanbuchus، SpyNote، Coper (المعروف أيضًا باسم Octo)، و SocGholish.
كما أشارت GreyNoise إلى أن 85% من محاولات الاستغلال كانت تتواصل مع خادم القيادة والتحكم عبر نظام اسم النطاق (DNS) للتأكد من “قابلية الهدف للاستغلال” دون نشر أي برامج ضارة أو استخلاص بيانات. يأتي هذا الكشف بعد أيام قليلة من إعلان شركة Defused Cyber عن حملة “نواة نائمة” (sleeper shell) قامت بنشر حمولة Java في الذاكرة بشكل خامل عبر مسار “/mifs/403.jsp” في أنظمة EPMM المخترقة.
قالت الشركة إن هذا النشاط يشير إلى أساليب عمل “وسطاء الوصول الأولي” (initial access brokers)، حيث يقوم المهاجمون بتأسيس موطئ قدم ثم بيعه أو تمريره لاحقًا لتحقيق مكاسب مالية. “هذا النمط مهم”، بحسب Defused Cyber. “استدعاءات OAST [اختبار أمان التطبيقات خارج النطاق] تشير إلى أن الحملة تقوم بفهرسة الأهداف المعرضة للخطر بدلاً من نشر الحمولة فورًا. هذا يتوافق مع عمليات الوصول الأولي التي تتحقق أولاً من قابلية الاستغلال ثم تنشر أدوات متابعة لاحقًا.”
توصي Ivanti مستخدمي EPMM بتطبيق التصحيحات الأمنية، ومراجعة البنية التحتية لإدارة الأجهزة المحمولة (MDM) المواجهة للإنترنت، وتدقيق سجلات DNS بحثًا عن استدعاءات نمط OAST، ومراقبة المسار “/mifs/403.jsp” على أنظمة EPMM، وحظر نظام التشغيل المستقل PROSPERO (AS200593) على مستوى محيط الشبكة.
وتحذر GreyNoise، “يمنح اختراق EPMM وصولاً إلى البنية التحتية لإدارة الأجهزة للمؤسسات بأكملها، مما يخلق منصة للحركة الجانبية التي تتجاوز التقسيم التقليدي للشبكة. يجب على المؤسسات التي لديها أنظمة MDM، أو مجمعات VPN، أو أي بنية تحتية أخرى للوصول عن بعد تواجه الإنترنت، أن تفترض أن الثغرات الهامة ستواجه الاستغلال في غضون ساعات من الكشف عنها.”