أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن إضافة ثلاث ثغرات أمنية جديدة إلى سجل الثغرات الأمنية المستغلة المعروفة، وذلك بعد اكتشاف أدلة على استغلالها بشكل نشط في هجمات إلكترونية. وتأتي هذه الخطوة في إطار جهود الوكالة المستمرة لتعزيز الأمن السيبراني ومكافحة التهديدات المتزايدة.
وتشمل الثغرات المضافة حديثاً مشكلات في برمجيات Omnissa Workspace One UEM، و SolarWinds Web Help Desk، و Ivanti Endpoint Manager. وتستدعي هذه الثغرات اهتماماً خاصاً من المؤسسات، خاصة تلك التي تعتمد على هذه الأنظمة في عملياتها اليومية.
ثغرات أمنية جديدة تضاف إلى قائمة CISA
شملت التحديثات الأخيرة لقائمة الثغرات الأمنية المستغلة المعروفة (KEV) ثلاث ثغرات ذات خطورة عالية. وقد تم رصد استغلال هذه الثغرات في الواقع العملي، مما يستدعي اتخاذ إجراءات سريعة من قبل المؤسسات لحماية أنظمتها.
الثغرة الأولى: CVE-2021-22054
تتعلق هذه الثغرة ببرنامج Omnissa Workspace One UEM (المعروف سابقاً باسم VMware Workspace One UEM)، وهي من نوع “التزوير عن طريق طلبات الخادم (SSRF)”. تمنح هذه الثغرة المهاجم القدرة على إرسال طلبات دون الحاجة للمصادقة، مما قد يمكنه من الوصول إلى معلومات حساسة.
الثغرة الثانية: CVE-2025-26399
توجد هذه الثغرة ضمن مكون AjaxProxy في برنامج SolarWinds Web Help Desk، وتتعلق بعملية “إلغاء تسلسل البيانات غير الموثوق بها”. يمكن للمهاجم استغلالها لتنفيذ أوامر على الجهاز المستهدف، وهو ما يمثل خطراً كبيراً على سلامة الأنظمة.
الثغرة الثالثة: CVE-2026-1603
أما هذه الثغرة، فهي موجودة في برنامج Ivanti Endpoint Manager، وتتيح “تجاوز المصادقة عبر مسار أو قناة بديلة”. تسمح للمهاجم عن بعد وغير المصادق عليه بتسريب بيانات اعتماد مخزنة، مما يعرض الأنظمة للخطر.
دوافع الإضافة والاستغلال النشط
جاءت إضافة الثغرة CVE-2025-26399 في أعقاب تقارير من شركتي Microsoft و Huntress أشارت إلى استغلال هذه الثغرة من قبل جهات إجرامية للحصول على وصول أولي لأنظمة العملاء. ويُعتقد أن هذه الأنشطة مرتبطة بفريق برامج الفدية Warlock.
من جهة أخرى، تم الإشارة إلى الثغرة CVE-2021-22054 بواسطة GreyNoise في مارس 2025، حيث لوحظ استغلالها بالتزامن مع ثغرات SSRF أخرى في منتجات مختلفة كجزء من حملة منسقة.
حتى الآن، لا توجد تفاصيل متاحة حول كيفية استغلال الثغرة CVE-2026-1603 في الهجمات الفعلية. وتجدر الإشارة إلى أن نشرة الأمان الخاصة بشركة Ivanti لم تشمل تحديثاً بهذا الخصوص وقت كتابة الخبر.
إجراءات وقائية للمؤسسات
لمواجهة المخاطر التي تشكلها هذه التهديدات النشطة، أصدرت CISA توجيهات صارمة لوكالات الفرع التنفيذي الفيدرالي المدني. تم إلزام هذه الوكالات بتطبيق الإصلاحات الخاصة ببرنامج SolarWinds Web Help Desk بحلول 12 مارس 2026، وتطبيق الإصلاحات للثغرتين الأخريين بحلول 23 مارس 2026.
وأكدت CISA في بيان لها أن “هذه الأنواع من الثغرات تمثل نواقل هجوم متكررة للعناصر السيبرانية الخبيثة، وتشكل مخاطر كبيرة على المؤسسات الفيدرالية”. وتؤكد هذه الممارسات على أهمية اليقظة المستمرة والاستجابة السريعة للتحديثات الأمنية.