أصدرت شركة Ivanti تحذيراً عاجلاً بشأن اكتشاف ثغرتين أمنيتين من فئة يوم صفر (0-day)، في منصة إدارة الأجهزة المحمولة للمؤسسات المعروفة باسم Endpoint Manager Mobile (EPMM). وأكدت تقارير تقنية ومذكرات رصد دولية استغلال هذه الثغرات حالياً في هجمات سيبرانية نشطة، تمنح المهاجمين القدرة على تنفيذ أوامر برمجية عن بُعد وبشكل كامل على الخوادم المتأثرة دون الحاجة إلى امتلاك بيانات دخول.
طبيعة التهديد ومستوى الخطورة
تتمثل الثغرتان في المعرفين CVE-2026-1281 و CVE-2026-1340، وقد حازتا على درجة خطورة قصوى بلغت 9.8 من 10 وفقاً لمقياس نظام تسجيل الثغرات العام CVSS.
وتصنف هذه الثغرات ضمن فئة حقن الكود (Code Injection)، وهو أسلوب هجومي يعتمد على إرسال بيانات خبيثة عبر طلبات النظام العادية، ما يخدع الخادم ويدفعه لتنفيذ تلك البيانات كأوامر برمجية. ويؤدي هذا الخلل إلى تنفيذ الأوامر عن بُعد (RCE).
وتشمل القائمة المتأثرة إصدارات EPMM رقم 12.5.1.0 وما قبلها، و 12.6.1.0 وما قبلها، بالإضافة إلى الإصدار 12.7.0.0 وما قبله. وأفادت الشركة في بيانها الأولي بأن الاستغلال الفعلي جرى رصده في نطاق محدود من بيئات العملاء، إلا أن التحقيقات المستمرة كشفت عن أبعاد أوسع للأزمة.
الحساسية التشغيلية ومخاطر البيانات
تكمن خطورة منصة EPMM في دورها الجوهري داخل الشركات؛ فهي المحرك المسؤول عن إدارة الهواتف الذكية والأجهزة اللوحية وتطبيقاتها وسياسات الأمن الخاصة بها. السيطرة على هذا الخادم تعني وصول المهاجم إلى قلب الإدارة الأمنية للمؤسسة.
وتشمل البيانات المعرضة للخطر تفاصيل دقيقة، منها:
- أسماء المدراء والمستخدمين وعناوين بريدهم الإلكتروني.
- أرقام الهواتف وعناوين بروتوكول الإنترنت (IP).
- قائمة التطبيقات المثبتة والمعرفات الفريدة للأجهزة مثل IMEI و MAC.
- بيانات الموقع الجغرافي في حال تفعيل خاصية التتبع.
تصاعد موجة الهجمات في فبراير
رصدت مؤسسة The Shadowserver Foundation طفرة حادة في محاولات الاستغلال خلال الشهر الجاري. وأشارت البيانات إلى رصد أكثر من 28,300 عنوان IP حاولت استغلال الثغرة CVE-2026-1281 في يوم واحد فقط، ما يؤكد وجود حملات مسح واسعة تستهدف الأنظمة المكشوفة على شبكة الإنترنت.
من جهتها، كشفت شركة GreyNoise أن جزءاً كبيراً من هذا النشاط يدار عبر بنى استضافة مقاومة للإزالة (Bulletproof Hosting)، وهي خدمات استضافة تتجاهل طلبات الحذف القانونية، معززاً الفرضية القائلة بوجود عمليات منظمة تهدف إلى تجهيز بيئات مخترقة لاستخدامات تخريبية أو تجسسية لاحقاً.
التحرك الدولي والإجراءات الرسمية
تفاعلاً مع الأزمة، أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة ضمن قائمة الثغرات المستغلة المعروفة (KEV)، وهو ما يلزم الجهات الحكومية بسرعة المعالجة. كما أصدر فريق الاستجابة للطوارئ الحاسوبية للاتحاد الأوروبي (CERT-EU) تنبيهاً رسمياً يتضمن توصيات فنية وإجراءات للتحقيق الجنائي الرقمي للبحث عن آثار الاختراق.
المعالجة المقترحة: نهج افتراض الاختراق
طرحت Ivanti معالجات مؤقتة) تتناسب مع كل إصدار، مع التنبيه إلى ضرورة إعادة تطبيق هذه المعالجات عند ترقية النظام إلى إصدار أعلى حتى صدور الإصلاح الدائم المتوقع في النسخة 12.8.0.0 خلال الربع الأول من عام 2026. وتتضمن توصيات الفحص والتعافي:
- مراقبة السجلات: ينصح بفحص سجلات خادم Apache (خاصة المسار /var/log/httpd/https-access_log) للبحث عن أنماط طلبات مشبوهة.
- السجلات الخارجية (Off-device logging): تشدد التوصيات على أهمية الاعتماد على سجلات محفوظة خارج الخادم المتأثر، لأن المهاجمين غالباً ما يعبثون بالسجلات الداخلية لإخفاء أثرهم.
- استراتيجية التعافي: عند الاشتباه في وقوع اختراق، يجب تبني نهج افتراض الاختراق (Assume Breach)، والذي يتطلب استعادة النظام من نسخة احتياطية نظيفة أو إعادة بناء الخادم بالكامل، مع تغيير كافة كلمات المرور وشهادات الأمان.
