أصدرت شركة Ivanti، يوم الاثنين 29 يناير 2026، تحديثات أمنية إسعافية لمعالجة ثغرتين حرجتين من نوع اليوم الصفري (Zero-day)، جرى استغلالهما فعلياً في هجمات استهدفت عملاء منصة Ivanti لإدارة نقاط النهاية المحمولة (EPMM) بنسختها المحلية.
وتحمل الثغرتان المعرفين (CVE-2026-1281) و(CVE-2026-1340)، حيث نالتا تقييماً بـ 9.8 درجة على مقياس الخطورة (CVSS)، وهو ما يعكس تهديداً بالغاً لأمن المؤسسات.
طبيعة الثغرات وآليات الاستغلال
تنتمي الثغرتان المكتشفتان إلى فئة حقن الأوامر، وتستهدفان وظائف حيوية في النظام، تحديداً ميزة توزيع التطبيقات الداخلية (In-House Application Distribution) وإعدادات نقل ملفات أندرويد (Android File Transfer Configuration).
ويتيح هذا الخلل للمهاجمين حقن أوامر برمجية خبيثة وتنفيذها مباشرة على الخادم دون الحاجة إلى إجراء أي عملية مصادقة أو تسجيل دخول، الأمر الذي يمهد الطريق لتنفيذ أوامر عن بُعد (RCE) والسيطرة على الأنظمة المتأثرة.
نطاق التأثر والمنصات المستثناة
أوضحت التقارير التقنية أن الإصدارات المتأثرة من منصة (EPMM) تشمل النسخ التالية:
- 12.5.0.0
- 12.5.1.0
- 12.6.0.0
- 12.6.1.0
- 12.7.0.0
وفي المقابل، أكدت الشركة أن الخدمات السحابية (Ivanti Neurons for MDM)، إضافة إلى منتجات (Ivanti Endpoint Manager) و(Ivanti Sentry)، تقع خارج نطاق هذا التهديد ولم تتأثر بالثغرتين.
مخاطر تسرب البيانات والتحكم الإداري
أفاد بيان الشركة بأن استغلال هذه الثغرات يمنح المهاجمين قدرة على الوصول إلى حزمة واسعة من البيانات الحساسة، والتي تضم أسماء المسؤولين، والمعرفات الرقمية، وأرقام الهواتف، وعناوين بروتوكول الإنترنت (IP)، ومعرفات الأجهزة (IMEI)، وتفاصيل التطبيقات المثبتة. كما يمتد الخطر ليشمل بيانات الموقع الجغرافي في حال تفعيل ميزة التتبع.
علاوة على ذلك، حذرت التقارير من أن الاستغلال الناجح قد يمكن المهاجم من إجراء تغييرات إدارية جوهرية، مثل تعديل إعدادات المصادقة، أو إنشاء حسابات بصلاحيات كاملة، أو إرسال تطبيقات مشبوهة إلى الأجهزة التي تديرها المنصة.
خطة الإصلاح والإجراءات العاجلة
أتاحت Ivanti الإصلاحات الإسعافية بصيغة RPM لكل إصدار متأثر، مع الإشارة إلى إمكانية تطبيقها دون توقف الخدمة. ونبهت الشركة إلى ضرورة إعادة تطبيق هذه الإصلاحات عند إجراء أي ترقية مستقبلية للنظام، وذلك إلى حين صدور الإصدار (12.8.0.0) المقرر في الربع الأول من عام 2026، والذي سيتضمن إصلاحاً دائماً وتلقائياً.
توصيات الرصد الجنائي والاستجابة
دعت الشركة الفرق الأمنية إلى فحص سجلات Apache عبر المسار المخصص (/var/log/httpd/https-access_log)، والتدقيق في طلبات POST غير المعتادة الموجهة لصفحات مثل (401.jsp)، والبحث عن أي مؤشرات لوجود برامج ويب خبيثة (Web Shells).
وفي حالات الاشتباه بالتعرض للاختراق، أوصت الشركة باتباع بروتوكولات استعادة صارمة تشمل:
- الاسترجاع من نسخ احتياطية موثوقة ونظيفة.
- إعادة بناء الخادم بالكامل إذا لزم الأمر.
- تغيير كلمات مرور الحسابات المحلية وحسابات (LDAP/KDC).
- تحديث الشهادات الأمنية.
تحرك دولي وتصنيف عال
من جهتها، أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) الثغرة (CVE-2026-1281) ضمن قائمة الثغرات المستغلة المعروفة (KEV)، مشددة على ضرورة التعامل مع أنظمة إدارة الأجهزة المحمولة بصفتها أصولاً تقنية عالية القيمة تتطلب رقابة مشددة وعزلاً شبكياً دقيقاً.
