ثغرات Ivanti EPMM (CVE-2026-1281/1340): MDM بنوك SAMA في خطر

رصدت وحدة Unit 42 التابعة لـ Palo Alto Networks موجة استغلال واسعة وآلية لثغرتين حرجتين في منصة Ivanti Endpoint Manager Mobile (EPMM)، تحملان المعرّفين CVE-2026-1281 وCVE-2026-1340 بدرجة CVSS 9.8 لكلٍّ منهما. الثغرتان تتيحان تنفيذ أوامر نظام التشغيل عن بُعد دون أي مصادقة، ما يضع أنظمة إدارة الأجهزة المحمولة في بنوك SAMA أمام احتمال اختراق كامل لطبقة التحكم في الهواتف المؤسسية.

تفاصيل الثغرة الفنية: حقن أوامر Bash عبر appstore

تنبع الثغرتان من معالجة خاطئة لمدخلات يتحكم بها المهاجم داخل سكربتات Bash المستخدمة في EPMM، وتحديداً عبر التوسع الحسابي (arithmetic expansion) في سكربت map-appstore-url. يستطيع المهاجم إرسال طلب HTTP GET واحد إلى نقطتي النهاية /mifs/c/appstore/fob/ أو /mifs/c/aftstore/fob/ يحمل أوامر Bash، فيُنفَّذ المحتوى بصلاحيات الخدمة على الخادم. لا تتطلب العملية بيانات اعتماد، ولا تفاعل مستخدم، ولا حتى وجود وكيل MDM مُسجَّل.

الاستغلال في البرية: سلسلة هجوم متعددة المراحل

وثّقت Unit 42 وHorizon3 وTelekom Security محاولات استغلال آلية واسعة بدأت قبل تاريخ الإفصاح بأسابيع. السلسلة الشائعة تتضمن استدعاء مرحلة ثانية عبر سكربت /slt يقوم بتثبيت web shell ثابت أو منقّب عملات مشفّرة (cryptominer) أو باب خلفي (backdoor) دائم. بعض المهاجمين انتقلوا أفقياً نحو خوادم MobileIron Core وقواعد بيانات الأجهزة المسجّلة، وهو تصعيد كافٍ لتسريب IMEI وأرقام الهواتف ورموز شهادات MDM لكامل أسطول الموظفين.

التأثير على المؤسسات المالية السعودية

تستخدم غالبية بنوك SAMA منصات MDM لفصل بيانات العمل عن البيانات الشخصية على أجهزة الموظفين، ولفرض سياسات الوصول إلى تطبيقات الخدمات المصرفية الداخلية وSwift وأنظمة العمليات. اختراق طبقة الـ MDM يكسر هذا الفصل ويفتح ثلاث ضوابط جوهرية في إطار SAMA Cyber Security Framework وCSCC: الضابط 3.3.10 (أمن الأجهزة المحمولة)، والضابط 3.3.5 (إدارة الهوية والوصول)، والضابط 3.3.14 (إدارة الثغرات). كما يُلزم نظام حماية البيانات الشخصية PDPL بالإبلاغ عن أي حادث يمسّ بيانات العملاء خلال 72 ساعة لسلطة سدايا، وتسريب قاعدة أجهزة EPMM يندرج تحت هذا التصنيف. على صعيد NCA ECC، يقع الانتهاك ضمن الضوابط 2-3-3 (أمن الأجهزة الطرفية) و2-10-3 (إدارة الثغرات).

التوصيات والخطوات العملية لفِرَق الأمن

1. الترقية الفورية إلى الإصدارات المعالَجَة من Ivanti EPMM وفق نشرة المورّد، وعدم الاكتفاء بتطبيق ضوابط جدار الحماية كحل بديل.
2. عزل بوابة EPMM عن الإنترنت العام ووضعها خلف Reverse Proxy مع قوائم IP موثّقة، إن لم تكن كذلك بالفعل.
3. البحث عن مؤشرات الاختراق (IoCs) في سجلات الويب: طلبات GET تحتوي رموز $(( أو `$(` على المسارات /mifs/c/appstore/fob/ و/mifs/c/aftstore/fob/.
4. فحص نظام الملفات بحثاً عن سكربت /slt أو ملفات web shell جديدة في أدلة التطبيق، ومراجعة جدول cron وملفات systemd للبحث عن آليات استمرار.
5. تدوير شهادات MDM ومفاتيح APNs/FCM إذا ثبت الاختراق، وإلغاء تسجيل الأجهزة المشبوهة من قاعدة EPMM وإعادة تسجيلها.
6. تفعيل قاعدة كشف في SIEM (Splunk/Wazuh/QRadar) ترصد طلبات HTTP المحتوية على متغيرات Bash للمسارات المذكورة، مع تنبيه مباشر إلى SOC.
7. إطلاق تقييم تأثير الحادث (Impact Assessment) خلال 24 ساعة للوفاء بمتطلبات SAMA CSCC للإفصاح، وإعداد بلاغ سدايا الجاهز للإرسال خلال نافذة 72 ساعة عند الحاجة.

الخلاصة

منصات MDM ليست أداة دعم — إنها بنية تحتية حرجة تتحكم في أجهزة الموظفين الذين يصلون إلى الأنظمة الجوهرية. ثغرتا Ivanti EPMM الحاليتان تذكير بأن سطح هجوم البنوك السعودية امتد منذ زمن إلى ما وراء جدار المركز الرئيس، وأن الالتزام بالضابطين 3.3.10 و3.3.14 من SAMA CSCC يبدأ من تصلب وتحديث منصات MDM ذاتها قبل الأجهزة التي تُديرها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.