ثغرات أمنية

وكالة CISA تحذر من برمجيات خبيثة تستغل ثغرات Ivanti EPMM وتكشف تفاصيل الهجوم

استغلال ثغرات CVE-2025-4427 وCVE-2025-4428 سمح بتنفيذ أوامر خبيثة دون مصادقة

تم النشر في Sep. 19, 2025

وكالة CISA تحذر من برمجيات خبيثة تستغل ثغرات Ivanti EPMM وتكشف تفاصيل الهجوم — تحذير CISA من برمجيات خبيثة تستغل ثغرات Ivanti EPMM يبرز خطورة الثغرات المستغلة كأيام صفرية.

كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية CISA عن رصد برمجيات خبيثة جديدة استغلها مهاجمون في هجوم سيبراني استهدف شبكة مؤسسة لم يكشف عن اسمها، بعد استغلال ثغرات أمنية في نظام Ivanti Endpoint Manager Mobile المعروف بـEPMM. وأوضحت الوكالة أن المهاجمين تمكنوا من حقن برمجيات ضارة داخل الخوادم المصابة بهدف إقامة أبواب خلفية تتيح لهم تنفيذ تعليمات برمجية عشوائية عن بُعد.
أكد التقرير الصادر أن المهاجمين استغلوا الثغرتين CVE-2025-4427 وCVE-2025-4428 عبر هجوم اليوم صفر قبل أن تصدر Ivanti تحديثات لمعالجتهما في مايو 2025. وتتيح الأولى تجاوز المصادقة والوصول إلى الموارد المحمية، بينما تتيح الثانية تنفيذ التعليمات البرمجية عن بُعد. وبدمج الثغرتين أصبح بإمكان المهاجمين التحكم بالأجهزة المعرضة للخطر دون الحاجة إلى بيانات اعتماد.

ملفات ضارة لحقن التعليمات واستمرار السيطرة على الخادم المخترق

أفادت CISA أن الهجوم وقع في منتصف مايو 2025، بعيد نشر كود استغلال تجريبي PoC، ما سمح للجهة المهاجمة بالوصول إلى خادم EPMM. وبعد الاختراق، تمكن المهاجمون من استطلاع النظام، ونشر برمجيات خبيثة، واستكشاف المجلد الجذري، واستكشاف الشبكة، وتنفيذ نصوص برمجية لالتقاط بيانات heapdump، بالإضافة إلى استخراج بيانات اعتماد بروتوكول LDAP. وأظهرت التحقيقات أن المهاجمين نشروا مجموعتين من البرمجيات الخبيثة في مجلد /tmp، بهدف تحقيق الاستمرارية عبر حقن وتشغيل تعليمات برمجية عشوائية.

تضمنت المجموعة الأولى web-install.jar، المعروف باسم Loader 1، بالإضافة إلى ملفي ReflectUtil.class و SecurityHandlerWanListener.class.
ضمت المجموعة الثانية web-install.jar، المعروف باسم Loader 2، وملف WebAndroidAppInstaller.class.

يؤدي هذان المكونان إلى تشغيل أبواب خلفية Backdoors مكتوبة بلغة جافا، والتي تتصدى لطلبات HTTP محددة، ثم تقوم بفك تشفير الحمولات الخبيثة وتنفيذها. كما يستخدم ملف ReflectUtil.class تقنية الانعكاس في جافا لحقن وتشغيل SecurityHandlerWanListener داخل خادم Apache Tomcat. في حين يقوم ملف WebAndroidAppInstaller.class بفك تشفير كلمات المرور المرسلة باستخدام مفتاح ثابت، ثم ينشئ ويشغل صفوفاً جديدة، ويعيد النتائج مشفّرة في الاستجابة.

وبحسب الوكالة، يتيح هذا النهج للمهاجمين استمرار تنفيذ التعليمات العشوائية، والحفاظ على موطئ قدم داخل الخادم، إضافة إلى تسريب البيانات عبر اعتراض طلبات HTTP.

توصيات لتعزيز الحماية أمام الاستغلالات المستمرة للثغرات

أوصت CISA المؤسسات التي تعتمد على Ivanti EPMM بسرعة تحديث النسخ إلى الإصدارات الأحدث، مع تكثيف المراقبة لرصد أي نشاط مريب. كما شددت على أهمية تطبيق ضوابط للحد من الوصول غير المصرح به إلى أنظمة إدارة الأجهزة المحمولة MDM، نظراً لكونها أهدافاً متكررة للتهديدات السيبرانية.