ثغرات أمنية

وكالة CISA ترصد استغلالاً فعلياً لثغرات في SolarWinds وIvanti وWorkspace One

إدراج ثلاث ثغرات في KEV يرفع أولوية المعالجة العاجلة في منصات إدارة ودعم مؤسسية ذات انتشار واسع

تم النشر في مارس. 10, 2026

وكالة CISA ترصد استغلالاً فعلياً لثغرات في SolarWinds وIvanti وWorkspace One — إدراج الثغرات في قائمة KEV يحولها فوراً إلى أولوية تشغيلية قصوى لدى فرق الأمن وإدارة المخاطر

أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثلاث ثغرات أمنية جديدة ضمن قائمة الثغرات المعروفة المستغلة فعلياً (KEV). يعد هذا الإجراء إشارة عملية إلى توافر أدلة قاطعة على استخدام هذه الثغرات في هجمات واقعية، ما يضع معالجتها ضمن الأولويات المباشرة لدى الجهات المتأثرة.

وشمل التحديث الثغرة CVE-2021-22054 في منصة Omnissa Workspace One UEM، والثغرة CVE-2025-26399 في نظام SolarWinds Web Help Desk، بالإضافة إلى الثغرة CVE-2026-1603 في برنامج Ivanti Endpoint Manager.

تفاصيل فنية ومخاطر تشغيلية في أدوات الإدارة والدعم المؤسسي

ترتبط الثغرة CVE-2025-26399 في أنظمة SolarWinds بمكون AjaxProxy داخل Web Help Desk، وهي تندرج تحت فئة فك تسلسل بيانات غير موثوقة. سجلت هذه الثغرة درجة خطورة بلغت 9.8 وفق السجل العام للثغرات، ورصدت شركتا Microsoft وHuntress استغلالاً فعلياً لبيئات مكشوفة على الإنترنت، حيث استخدم المهاجمون أدوات شرعية بعد الاختراق لترسيخ وجودهم، مثل Zoho Assist وCloudflare Tunnel.

من جانبها، أطلقت SolarWinds إصلاحات ضمن تحديثات البرنامج ووفرت حلاً عاجلاً للإصدار 12.8.7، مع توصيات تقنية بضرورة تدوير بيانات الاعتماد الإدارية وحسابات الخدمة، وتقليص ظهور لوحة الإدارة على الشبكة العامة.

وفي سياق متصل، تبرز الثغرة CVE-2026-1603 في Ivanti Endpoint Manager كحالة تجاوز للمصادقة تسمح لمهاجم بعيد غير موثق بتسريب بيانات اعتماد مخزنة. وفرت الشركة المعالجة اللازمة عبر التحديث 2024 SU5، بينما منحها السجل الوطني للثغرات (NVD) درجة خطورة 8.6. ويعد إدراج CISA لهذه الثغرة المؤشر الأوضح على انتقالها لفئة الأولوية العالية، خاصة أن النشرات العلنية للشركة لم تكن قد حدثت حالة الاستغلال الفعلي صراحة قبل صدور تحديث الوكالة الأمريكية.

تحديات أمن المنصات الطرفية واستراتيجيات الاستجابة العاجلة

تعد الثغرة CVE-2021-22054 في Workspace One UEM خللاً من نوع SSRF، وهي تسمح لمن يملك وصولاً شبكياً بإرسال طلبات دون مصادقة للحصول على معلومات حساسة. كانت شركة Omnissa قد نبهت سابقاً إلى إمكانية خفض احتمالات الاستغلال عبر إجراءات تخفيف مؤقتة. تزداد خطورة هذا الخلل بالنظر لكون المنصة مسؤولة عن إدارة الهواتف والأصول المتنقلة، إذ إن الوصول غير المصرح به يفتح الباب لجمع بيانات تشغيلية تستخدم في مراحل لاحقة من الهجوم.

كما أوضحت الشركة أن خط إنتاج النسخ المحلية دخل مرحلة الدعم النهائية، وسينتهي تماماً في 30 أبريل 2027، في تطور يفرض على المؤسسات تسريع خطط التحديث والهجرة التقنية.

حددت CISA مواعيد معالجة نهائية للجهات الفيدرالية، تبدأ في 12 مارس 2026 لثغرة SolarWinds، و23 مارس للثغرتين الأخريين. تعكس هذه المهل رؤية الوكالة لهذه الثغرات كمسارات هجوم قائمة ذات أثر تشغيلي مباشر. ويتطلب الجانب العملي من المؤسسات مراجعة 4 مسارات: