يحذر Ivanti من استغلال عيبين في EPMM في هجمات يوم الصفر

كشفت Ivanti عن اثنتين من نقاط الضعف الحرجة في Ivanti Endpoint Manager Mobile (EPMM)، والتي يتم تتبعها باسم CVE-2026-1281 وCVE-2026-1340، والتي تم استغلالها في هجمات يوم الصفر.

وتتمثل العيوب في ثغرات أمنية في حقن التعليمات البرمجية والتي تسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية على الأجهزة الضعيفة دون مصادقة. حصلت كلا الثغرات الأمنية على درجة CVSS تبلغ 9.8 وتم تصنيفها على أنها حرجة.

“We are aware of a very limited number of customers whose solution has been exploited at the time of disclosure,” يحذر إيفانتي.

“https://www.bleepstatic.com/c/w/wiz/Securing-AI-Agents-970×250.png” البديل=”Wiz”>

أصدرت Ivanti نصوص RPM للتخفيف من الثغرات الأمنية في إصدارات EPMM المتأثرة:

• استخدم RPM 12.x.0.x لإصدارات EPMM 12.5.0.x و12.6.0.x و12.7.0.x
• استخدم RPM 12.x.1.x لإصدارات EPMM 12.5.1.0 و12.6.1.0

وتقول الشركة إنه لا يوجد أي توقف مطلوب لتطبيق التصحيحات وأنه لا يوجد أي تأثير وظيفي، لذا ننصح بشدة بتطبيقها في أقرب وقت ممكن.

ومع ذلك، تحذر الشركة من أن الإصلاحات العاجلة لن تستمر بعد ترقية الإصدار ويجب إعادة تطبيقها إذا تمت ترقية الجهاز قبل توفر الإصلاح الدائم.

سيتم إصلاح الثغرات الأمنية بشكل دائم في الإصدار 12.8.0.0 من EPMM، والذي سيتم إصداره لاحقًا في الربع الأول من عام 2026.

يقول إيفانتي إن الاستغلال الناجح يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية على جهاز EPMM، مما يسمح للمهاجمين بالوصول إلى مجموعة واسعة من المعلومات المخزنة على النظام الأساسي.

تتضمن هذه المعلومات أسماء المسؤولين والمستخدمين وأسماء المستخدمين وعناوين البريد الإلكتروني، بالإضافة إلى معلومات حول الأجهزة المحمولة المُدارة مثل أرقام الهواتف وعناوين IP والتطبيقات المثبتة ومعرفات الأجهزة مثل عناوين IMEI وMAC.

إذا تم تمكين تتبع الموقع، فيمكن للمهاجمين أيضًا الوصول إلى بيانات موقع الجهاز، بما في ذلك إحداثيات نظام تحديد المواقع العالمي (GPS) ومواقع أقرب الأبراج الخلوية.

يحذر Ivanti من أن المهاجمين يمكنهم أيضًا استخدام واجهة برمجة تطبيقات EPMM أو وحدة تحكم الويب لإجراء تغييرات التكوين على الأجهزة، بما في ذلك إعدادات المصادقة.

استغلت بنشاط صفر أيام

تشير تحذيرات Ivanti إلى أنه تم استغلال كلا الثغرات الأمنية على أنها صفر يوم، لكن الشركة ليس لديها مؤشرات موثوقة للتسوية (IOC) نظرًا لقلة عدد العملاء المتأثرين المعروفين.

ومع ذلك، فقد نشرت الشركة إرشادات فنية حول اكتشاف سلوك الاستغلال وما بعد الاستغلال الذي يمكن للمسؤولين استخدامه.

يقول إيفانتي إن كلا الثغرات الأمنية يتم تشغيلها من خلال ميزات توزيع التطبيقات الداخلية وتكوين نقل ملفات Android، مع ظهور محاولة الاستغلال أو النجاح في سجل وصول Apache على /var/log/httpd/https-access_log.

لمساعدة المدافعين على تحديد الأنشطة المشبوهة، قدمت Ivanti تعبيرًا عاديًا يمكن استخدامه للبحث عن نشاط الاستغلال في سجلات الوصول:

^(?!127.0.0.1:d+ .*$).*?/mifs/c/(aft|app)store/fob/.*?404

سيسرد التعبير إدخالات السجل التي تطابق الطلبات الخارجية (وليس حركة مرور المضيف المحلي) التي تستهدف نقاط النهاية الضعيفة التي تُرجع 404 رموز استجابة HTTP.

وفقًا لـ Ivanti، عادةً ما تُرجع الطلبات المشروعة لنقاط النهاية هذه استجابة HTTP 200. تؤدي محاولات الاستغلال، سواء كانت ناجحة أو محاولة، إلى ظهور أخطاء 404، مما يجعل هذه الإدخالات مؤشرًا قويًا على استهداف جهاز ما.

ومع ذلك، يحذر Ivanti من أنه بمجرد اختراق الجهاز، يمكن للمهاجمين تعديل السجلات أو حذفها لإخفاء نشاطهم. إذا كانت السجلات خارج الجهاز متاحة، فيجب مراجعتها بدلاً من ذلك.

إذا كان هناك شك في تعرض جهاز ما للاختراق، فلا توصي Ivanti بأن يقوم المسؤولون بتنظيف النظام.

وبدلاً من ذلك، يجب على العملاء استعادة EPMM من نسخة احتياطية جيدة معروفة تم التقاطها قبل حدوث الاستغلال أو إعادة بناء الجهاز وترحيل البيانات إلى نظام بديل.

بعد استعادة الأنظمة، يقترح إيفانيتي تنفيذ هذه الإجراءات:

• قم بإعادة تعيين كلمة المرور لأي حسابات EPMM محلية.
• قم بإعادة تعيين كلمة المرور لحسابات خدمة LDAP و/أو KDC التي تقوم بإجراء عمليات البحث.”https://help.ivanti.com/mi/help/en_us/core/11.x/gsg/CoreGettingStarted/Configuring_LDAP_servers.htm” الهدف=”_blank” rel=”nofollow noopener”>https://help.ivanti.com/mi/help/en_us/core/11.x/gsg/CoreGettingStarted/Configuring_LDAP_servers.htm
• قم بإلغاء واستبدال الشهادة العامة المستخدمة لـ EPMM الخاص بك.
• قم بإعادة تعيين كلمة المرور لأي حسابات خدمة داخلية أو خارجية أخرى تم تكوينها باستخدام حل EPMM.

في حين أن الثغرات الأمنية تؤثر فقط على Ivanti Endpoint Manager Mobile (EPMM)، توصي الشركة بمراجعة سجلات Sentry أيضًا.

“While EPMM can be restricted to a DMZ with little to no access to the rest of a corporate network, Sentry is specifically intended to tunnel specific types of traffic from mobile devices to internal network assets,” يقرأ”https://forums.ivanti.com/s/article/Analysis-Guidance-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US” الهدف=”_blank” rel=”nofollow noopener”> إرشادات تحليل إيفانتي لـ CVE-2026-1281 وCVE-2026-1340.

“If you suspect that your EPMM appliance is impacted, we recommend you review the systems that Sentry can access for potential recon or lateral movement.”

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) CVE-2026-1281 إلى قائمتها”https://www.cisa.gov/known-exploited-vulnerabilities-catalog” الهدف=”_blank” rel=”nofollow noopener”> كتالوج الثغرات الأمنية المستغلة المعروفة (KEV).مما يؤكد أنه يتم استغلال الخلل بشكل نشط.

تم منح الوكالات المدنية الفيدرالية مهلة حتى 1 فبراير 2026 لتطبيق إجراءات تخفيف البائعين أو التوقف عن استخدام الأنظمة المعرضة للخطر بموجب التوجيه التشغيلي الملزم 22-01.

من غير الواضح لماذا لم تقم CISA بإضافة كلا الثغرات الأمنية إلى KEV، وقد اتصلت BleepingComputer بشركة Ivanti للتأكد من أنه تم استغلال كليهما.

في سبتمبر،”https://www.bleepingcomputer.com/news/security/cisa-exposes-malware-kits-deployed-in-ivanti-epmm-attacks/” الهدف=”_blank” rel=”nofollow noopener”> نشرت CISA تحليلاً لمجموعات البرامج الضارة تم نشرها في هجمات تستغل برمجيتين أخريين من نوع Ivanti Endpoint Manager Mobile (EPMM). تم إصلاح هذه العيوب في مايو 2025، ولكن تم استغلالها سابقًا في هجمات اليوم صفر أيضًا.