ثغرة Ivanti EPMM يوم صفر CVE-2026-6973: تنفيذ كود عن بُعد يهدد إدارة الأجهزة في بنوك SAMA

أضافت وكالة CISA ثغرة CVE-2026-6973 في منصة Ivanti Endpoint Manager Mobile (EPMM) إلى كتالوج الثغرات المستغلة فعلياً KEV يوم 8 مايو 2026، مع منح الوكالات الفيدرالية مهلة أربعة أيام فقط للترقيع. الثغرة تسمح لمهاجم مُصادَق بصلاحيات إدارية بتنفيذ أوامر عشوائية عن بُعد على خادم EPMM — وهو الخادم الذي يتحكم في كل جهاز محمول مُسجَّل في المؤسسة.

ما هي ثغرة CVE-2026-6973 وكيف تعمل؟

الثغرة من نوع Improper Input Validation تصيب إصدارات Ivanti EPMM حتى 12.8.0.0 وما قبلها. يستطيع المهاجم الذي يمتلك وصولاً إدارياً — سواء بحساب مخترق أو عبر تصعيد صلاحيات من ثغرة مساعدة — إرسال طلبات HTTP مُعدَّة خصيصاً تتجاوز طبقات التحقق وتنفّذ كوداً على مستوى نظام التشغيل. النتيجة: سيطرة كاملة على خادم إدارة الأجهزة المحمولة، بما يشمل الوصول إلى شهادات العملاء وسياسات الأمان وبيانات التطبيقات المُدارة.

أكدت Ivanti أن الاستغلال الفعلي استهدف عدداً محدوداً جداً من العملاء، لكنها حذّرت بشكل لافت من أن نماذج الذكاء الاصطناعي المتقدمة قلّصت نافذة الاستغلال من أيام إلى ساعات بعد الإفصاح العلني عن أي ثغرة. هذا التحذير يعني أن المؤسسات التي تتأخر في الترقيع تواجه خطراً متصاعداً بسرعة غير مسبوقة.

خمس ثغرات إضافية في نفس التحديث

لم تأتِ CVE-2026-6973 وحدها. أصدرت Ivanti في تحديث مايو 2026 إصلاحات لأربع ثغرات إضافية: CVE-2026-5786 وCVE-2026-5787 لتصعيد الصلاحيات، وCVE-2026-5788 لاستدعاء دوال عشوائية، وCVE-2026-7821 لتسريب المعلومات. تشكّل هذه الثغرات مجتمعة سلسلة هجوم محتملة: يبدأ المهاجم بتسريب معلومات أو سرقة شهادة عميل، ثم يصعّد صلاحياته، وأخيراً ينفّذ كوداً عبر CVE-2026-6973.

الجدير بالذكر أن هذه الثغرات تصيب فقط منتج EPMM المحلي (On-Premises) ولا تشمل Ivanti Neurons for MDM السحابي أو منتجات Ivanti الأخرى مثل EPM أو Sentry. لكن واقع المؤسسات المالية السعودية يشير إلى أن كثيراً منها لا يزال يعتمد النسخة المحلية لأسباب تتعلق بالسيادة على البيانات ومتطلبات الامتثال.

سجل Ivanti EPMM مع ثغرات يوم الصفر

ليست هذه المرة الأولى التي يتعرض فيها Ivanti EPMM لاستغلال يوم صفر. في يناير 2026، كشفت Rapid7 عن ثغرتين حرجتين CVE-2026-1281 وCVE-2026-1340 بتقييم CVSS 9.8 سمحتا بتنفيذ كود عن بُعد دون أي مصادقة عبر حقن أوامر في سكربتات Bash. تلا ذلك استغلال جماعي واسع النطاق شمل نشر Web Shells وأبواب خلفية وعمّال تعدين عملات مشفّرة على الأجهزة المصابة.

هذا النمط المتكرر يطرح تساؤلاً جوهرياً: هل تملك مؤسستك خطة طوارئ لاستبدال أو عزل منصة MDM عند اكتشاف ثغرة يوم صفر فيها؟ إطار SAMA CSCC يشترط في ضوابط إدارة الثغرات وجود إجراءات ترقيع طارئ وآليات تعويضية عند تعذّر الترقيع الفوري.

التأثير على المؤسسات المالية السعودية

تستخدم المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) منصات إدارة الأجهزة المحمولة لفرض سياسات الأمان على أجهزة الموظفين والعملاء — من تشفير البيانات إلى المسح عن بُعد عند الفقدان. اختراق خادم EPMM يعني:

• تسريب شهادات VPN وWi-Fi المؤسسية: يمنح المهاجم وصولاً مباشراً للشبكة الداخلية دون الحاجة لاختراق الجدار الناري.
• نشر تطبيقات خبيثة: القدرة على دفع تطبيقات مُعدَّلة لجميع الأجهزة المُدارة عبر آلية التوزيع المركزي.
• الوصول إلى بيانات التطبيقات المصرفية: سياسات الحاويات (Containerization) التي تحمي التطبيقات المؤسسية تصبح بلا قيمة عند سيطرة المهاجم على خادم MDM.
• تعطيل المسح عن بُعد: في حالات الاختراق المتقدم، قد يُعطّل المهاجم قدرة المؤسسة على مسح الأجهزة المسروقة أو المخترقة.

من منظور الامتثال، يُلزم إطار NCA ECC المؤسسات بتطبيق ضوابط صارمة لإدارة الأجهزة المحمولة (ضمن نطاق AM-3 وAM-4)، بينما يشترط SAMA CSCC تحديث الأنظمة الحرجة خلال إطار زمني محدد عند ظهور ثغرات مستغلة فعلياً. إضافة ثغرة CVE-2026-6973 إلى كتالوج KEV يجعل الترقيع الفوري التزاماً تنظيمياً وليس مجرد ممارسة أفضل.

التوصيات والخطوات العملية

1. ترقيع فوري: حدّث Ivanti EPMM إلى الإصدارات 12.6.1.1 أو 12.7.0.1 أو 12.8.0.1 حسب بيئتك. التحديث لا يتطلب توقفاً عن العمل (Zero Downtime).
2. مراجعة الحسابات الإدارية: تحقق من جميع الحسابات ذات الصلاحيات الإدارية على خادم EPMM. احذف الحسابات غير المستخدمة وفعّل المصادقة متعددة العوامل (MFA) لجميع الحسابات المتبقية.
3. فحص مؤشرات الاختراق (IoCs): راجع سجلات الخادم بحثاً عن طلبات HTTP غير معتادة، وملفات JSP مشبوهة في مسارات تطبيقات الويب (مثل 401.jsp و403.jsp)، واتصالات صادرة غير مبررة على المنفذ 443.
4. عزل شبكي: ضع خادم EPMM في شريحة شبكية منفصلة (VLAN) مع تقييد الوصول الإداري عبر قوائم التحكم (ACLs) لعناوين IP محددة فقط.
5. تقييم بديل سحابي: إذا كانت متطلبات سيادة البيانات تسمح، ادرس الانتقال إلى Ivanti Neurons for MDM السحابي الذي لا يتأثر بهذه الثغرات، أو قيّم منصات MDM بديلة ذات سجل أمني أفضل.
6. اختبار اختراق مركّز: نفّذ اختبار اختراق يستهدف تحديداً منصة MDM وسلسلة الهجوم المحتملة (تسريب معلومات ← تصعيد صلاحيات ← تنفيذ كود) للتحقق من فعالية الضوابط التعويضية.

الخلاصة

ثغرة CVE-2026-6973 تُذكّرنا بأن منصات إدارة الأجهزة المحمولة ليست مجرد أدوات تشغيلية — بل هي بنية تحتية حرجة تتحكم في آلاف نقاط النهاية وتحتفظ بمفاتيح الوصول للشبكة المؤسسية. تكرار ثغرات يوم الصفر في Ivanti EPMM خلال 2026 يفرض على فرق الأمن السيبراني إعادة تقييم مخاطر سلسلة التوريد البرمجية لمنصات MDM ضمن خطط إدارة المخاطر وفق SAMA CSCC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC يشمل مراجعة أمن منصات إدارة الأجهزة المحمولة واختبار اختراق مركّز لبنيتك التحتية.