ثغرة Ivanti EPMM الحرجة CVE-2026-6973: تنفيذ كود يهدد إدارة أجهزة بنوك SAMA

أعلنت Ivanti عن ثغرة يوم-صفر حرجة في منصتها لإدارة الأجهزة المحمولة Endpoint Manager Mobile (EPMM)، تحمل المعرف CVE-2026-6973، وقد رُصد استغلالها فعلياً قبل صدور الرقعة. الوكالة الأمريكية CISA أدرجت الثغرة فوراً في كتالوج الثغرات المستغلة المعروفة (KEV) ومنحت الجهات الفيدرالية ثلاثة أيام فقط لتطبيق التحديث، ما يعكس خطورة استثنائية تستوجب تحركاً موازياً من بنوك SAMA التي تعتمد على EPMM لإدارة أجهزة موظفيها.

تفاصيل ثغرة CVE-2026-6973 في Ivanti EPMM

الثغرة من نوع Improper Input Validation تتيح لمهاجم يمتلك صلاحيات إدارية مصادَق عليها تنفيذ كود تعسفي عن بُعد على خوادم EPMM المحلية (on-premises). درجتها وفق CVSS 7.2 وتصنّف كثغرة عالية الخطورة. تطال جميع إصدارات EPMM 12.8.0.0 وما قبلها، وعالجتها Ivanti في الإصدارات 12.6.1.1 و12.7.0.1 و12.8.0.1. تجدر الإشارة إلى أن النسخة السحابية Ivanti Neurons for MDM وكذلك Ivanti EPM وSentry غير متأثرة.

لماذا تشكّل MDM هدفاً عالي القيمة للمهاجمين؟

منصات إدارة الأجهزة المحمولة تختزن أعلى مستويات الثقة في البيئة المؤسسية: شهادات MDM، مفاتيح Apple Push وGoogle Firebase، سياسات الجهاز، وقدرة on-demand لتثبيت تطبيقات أو سحب بيانات. اختراق خادم EPMM يعني نظرياً قدرة المهاجم على تثبيت Profile خبيث، أو دفع تطبيق مزروع بحقيبة معلومات مصرفية، أو إجراء Wipe انتقائي لأجهزة موظفي الخزينة والمدفوعات. هذا النمط من Supply-chain الداخلي رصدناه سابقاً مع MOVEit وSolarWinds، وثغرة CVE-2026-6973 تمنح بوابة مماثلة عبر الموبايل.

الاستغلال الفعلي والمؤشرات الفنية

أكدت Ivanti رصد استغلال محدود ومستهدف للثغرة قبل النشر العلني. الإشكالية الأخطر أن الشركة صرّحت بعدم توفر مؤشرات اختراق ذرية موثوقة (atomic IoCs) للكشف عن الاستغلال، ما يجعل الاعتماد على الكشف بعد الحادث (Detection after compromise) ضعيفاً جداً. التوصية الفنية الوحيدة الموثّقة من Ivanti هي أن العملاء الذين دوّروا بيانات اعتمادهم بعد ثغرات يناير 2026 (CVE-2026-1281 وCVE-2026-1340) أقل عرضة للاستغلال الحالي، ما يؤكد أهمية النظافة الأمنية المستمرة.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA

عدد كبير من بنوك المملكة يستخدم Ivanti EPMM لإدارة أجهزة الموظفين خاصةً في فروع التجزئة والفروع التنفيذية، وكذلك لتطبيق سياسات BYOD على المتعاقدين. وفق إطار SAMA Cyber Security Control Cluster (CSCC) في الضوابط 3.3.6 و3.3.14 و3.3.15، تلتزم المؤسسات المالية بإدارة دورة حياة كاملة لتحديثات أنظمة إدارة الأجهزة، وفصلها شبكياً، ومراقبة وصول الإداريين إليها. كذلك يفرض NCA Essential Cybersecurity Controls (ECC-1) في الضابط 2-5-3 ضرورة تطبيق التحديثات الحرجة خلال نوافذ زمنية محددة. وجود ثغرة يوم-صفر مستغلة على خادم EPMM يخالف فعلياً متطلبات الإفصاح في PDPL إذا أدى إلى تسريب بيانات شخصية للموظفين أو العملاء.

التوصيات والخطوات العملية لفرق الأمن في بنوك SAMA

1. تطبيق التحديث الفوري إلى أحد الإصدارات المعالجة (12.6.1.1, 12.7.0.1, 12.8.0.1) خلال 48 ساعة كحد أقصى مع تفعيل إجراء الطوارئ في إدارة التغيير وفق SAMA CSCC.
2. تدوير جميع بيانات الاعتماد الإدارية لخادم EPMM بما في ذلك حسابات API وLDAP Bind وخدمات Apple Push وGoogle FCM.
3. عزل خادم EPMM في VLAN منفصل خلف WAF داخلي، وحظر وصول الإنترنت المباشر إلى واجهة الإدارة.
4. تفعيل MFA على جميع حسابات Admin Portal، ومراجعة سجلات الوصول الإداري لآخر 90 يوماً بحثاً عن جلسات مشبوهة من عناوين غير معتادة.
5. تشغيل عمليات Threat Hunting موجّهة على خادم EPMM تشمل: عمليات Java غير معتادة، اتصالات صادرة إلى C2، وتعديلات على ملفات التهيئة.
6. إخطار فريق SAMA SOC المركزي وفق متطلبات الإبلاغ عن الحوادث في الإطار التنظيمي إذا تأكد الاختراق.
7. مراجعة سياسات MDM وأذونات Profiles لضمان عدم تثبيت تطبيقات لم يصرّح بها فريق الأمن خلال نافذة التعرض.

الخلاصة

ثغرة CVE-2026-6973 ليست مجرد تحديث روتيني بل ناقوس خطر للبنوك السعودية التي تعتمد على Ivanti EPMM. ضعف توفر مؤشرات الاختراق يجعل الوقاية والترقيع الفوري الخط الدفاعي الأهم. التأخير في الاستجابة قد يحوّل ثغرة في خادم إدارة إلى اختراق شامل لأجهزة الموظفين وما تحويه من تطبيقات بنكية داخلية وبريد وبيانات عملاء.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.