ثغرة Ivanti EPMM الحرجة CVE-2026-6973: تنفيذ كود يهدد أساطيل الأجهزة المحمولة لبنوك SAMA

أصدرت شركة Ivanti في 6 مايو 2026 تنبيهاً أمنياً عاجلاً بشأن ثغرة حرجة في منصة Endpoint Manager Mobile (EPMM) تحمل المعرّف CVE-2026-6973 وتُستغل فعلياً في هجمات محدودة. الثغرة تمنح المهاجم قدرة تنفيذ كود عن بُعد بصلاحيات إدارية على خوادم MDM المؤسسية، ما يضع أساطيل الأجهزة المحمولة للمؤسسات المالية السعودية في خط النار المباشر.

تشريح ثغرة CVE-2026-6973 في Ivanti EPMM

الثغرة من نوع Improper Input Validation وتحمل تقييم CVSS قدره 7.2، وتؤثر على إصدارات EPMM قبل 12.6.1.1 و12.7.0.1 و12.8.0.1 في النشر الداخلي On-Prem فقط، دون التأثير على Ivanti Neurons for MDM السحابية. الاستغلال يتطلب مصادقة بصلاحيات إدارية، لكن Ivanti أكدت بثقة عالية أن بيانات الاعتماد المستخدمة في الهجمات المرصودة جاءت من استغلال سابق للثغرة CVE-2026-1340 المنشورة في يناير 2026، ما يجعلها سلسلة استغلال متكاملة Exploit Chain.

إلى جانب CVE-2026-6973، رقّعت Ivanti أربع ثغرات إضافية في الإصدار نفسه: CVE-2026-5786 وCVE-2026-5787 وCVE-2026-5788 وCVE-2026-7821 بدرجات تتراوح بين 7.0 و8.9، ما يعني أن المؤسسات التي تؤجل التحديث تترك أمامها خمسة مسارات هجوم متزامنة على بنية تحتية تحمل أكثر الأصول حساسية في المؤسسة.

لماذا تُعدّ خوادم EPMM هدفاً عالي القيمة للقطاع المالي

منصة EPMM ليست مجرد أداة لإدارة الهواتف، بل هي بوابة سيطرة شاملة على أساطيل الأجهزة المحمولة التي تحمل تطبيقات الخدمات المصرفية الأساسية، ورسائل البريد المؤسسي، وشهادات الوصول إلى VPN، ورموز المصادقة متعددة العوامل. اختراق خادم EPMM يعني قدرة المهاجم على دفع تطبيقات خبيثة عن بُعد، وتعديل سياسات التشفير، واستخراج بيانات الأجهزة، وحتى إعادة تعيين الأجهزة وتنصيب شهادات MITM.

في القطاع المالي تحديداً، أساطيل الأجهزة تشمل أجهزة المسؤولين التنفيذيين الذين يصادقون على التحويلات الكبيرة، وموظفي الخزينة الذين يصلون إلى أنظمة التداول، ومسؤولي الامتثال الذين يديرون التقارير التنظيمية. تنفيذ كود إداري على EPMM يحوّل المهاجم إلى مالك فعلي لقناة الثقة بين المؤسسة وأجهزتها.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

إطار SAMA CSCC في الضابط 3.3.5 يفرض على البنوك الخاضعة لرقابة البنك المركزي السعودي تطبيق إدارة آمنة للأجهزة المحمولة وضمان فصل البيانات المؤسسية عن الشخصية. كما يلزم الضابط 3.3.14 بتسجيل وتدقيق جميع عمليات الوصول الإداري إلى أنظمة الأمن السيبراني، وهو ما يُبطله استغلال CVE-2026-6973 لأن المهاجم يعمل بصلاحيات شرعية ظاهرياً.

على صعيد NCA ECC، يستلزم الضابط 2-5-3 تطبيق ضوابط حماية الأجهزة الطرفية ضمن البيئات الحساسة، ويُلزم الضابط 2-12-1 المؤسسات بإدارة الثغرات بشكل استباقي. وفقاً لمتطلبات نظام حماية البيانات الشخصية PDPL، أي تسريب لبيانات العملاء عبر أجهزة موظفين مخترقة يستوجب الإبلاغ خلال 72 ساعة لهيئة البيانات الوطنية وإخطار العملاء المتأثرين.

التوصيات والخطوات العملية للاستجابة

1. الترقية الفورية: تطبيق الإصدارات 12.6.1.1 أو 12.7.0.1 أو 12.8.0.1 على جميع خوادم EPMM الداخلية خلال نافذة لا تتجاوز 48 ساعة، مع تخطيط قائم على المخاطر للتحقق من توافق التطبيقات المُدارة.
2. تدوير بيانات الاعتماد الإدارية: تغيير جميع كلمات مرور الحسابات الإدارية لـ EPMM وإلغاء جلسات API النشطة، خصوصاً إذا كانت المؤسسة تعرّضت سابقاً لـ CVE-2026-1340 في يناير 2026.
3. صيد التهديدات Threat Hunting: مراجعة سجلات EPMM للعمليات الإدارية غير المعتادة، خصوصاً عمليات تنفيذ السكربتات على الأجهزة، ودفع التطبيقات غير المصرّح بها، وتعديلات سياسات الامتثال خلال آخر 90 يوماً.
4. عزل الشبكة: تقييد الوصول الإداري إلى واجهة EPMM عبر قوائم IP المسموح بها وقنوات VPN المؤسسية فقط، ومنع التعرّض المباشر للإنترنت لأي بوابة إدارية.
5. تفعيل المصادقة متعددة العوامل المقاومة للتصيد: الانتقال من رموز SMS و TOTP إلى مفاتيح FIDO2 لجميع الحسابات الإدارية على منصات MDM.
6. الانتقال إلى السحابة: دراسة الانتقال إلى Ivanti Neurons for MDM أو حلول سحابية بديلة لتقليل سطح الهجوم على البنية الداخلية.
7. تحديث خطة الاستجابة للحوادث: دمج سيناريو اختراق MDM في تمارين Tabletop الدورية وضمان تنسيق الاستجابة مع متطلبات الإبلاغ التنظيمي لـ SAMA وNCA.

الخلاصة

ثغرة Ivanti EPMM CVE-2026-6973 تذكير جوهري بأن منصات إدارة الأجهزة المحمولة هي أصول حرجة من الفئة الأولى تتطلب نفس مستوى الحماية الذي توليه البنوك لأنظمة Core Banking. سلسلة الاستغلال التي تربط CVE-2026-1340 بـ CVE-2026-6973 تُظهر كيف يبني المهاجمون مواطئ قدم طويلة الأمد عبر ثغرات متتالية، وأن إدارة الثغرات في القطاع المالي السعودي يجب أن تنتقل من النموذج التفاعلي إلى استراتيجية استباقية مدعومة بالاستخبارات التهديدية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.