استغلال نشط لثغرة تنفيذ الكود عن بعد (RCE) فـ Ivanti EPMM

خلاصة: كشفات شركة Ivanti على الثغرة CVE-2026-6973، وهي ثغرة خطيرة ديال التحقق غير السليم من المدخلات (improper input validation) فـ Endpoint Manager Mobile (EPMM). هاد الثغرة كتمكن المستخدمين الإداريين لي عندهم مصادقة من تنفيذ كود عن بعد (RCE). هاد الثغرة كتعرف استغلال نشط فعدد محدود من الهجمات. الوكالة الأمريكية CISA زادتها للائحة الثغرات المستغلة المعروفة (KEV) ديالها، وفرضات على الوكالات الفيدرالية الأمريكية يديرو الترقيع قبل 10 ماي 2026. فنفس الوقت، طلقات Ivanti تحديثات لربعة ديال الثغرات خرين كيقيسو نفس المنتج.

شنو وقع

كشفات Ivanti على CVE-2026-6973، لي هي ثغرة خطيرة (CVSS 7.2) فـ EPMM بسبب التحقق غير السليم من المدخلات. هاد الثغرة كتقيس إصدارات EPMM لي قبل من 12.6.1.1، 12.7.0.1، و 12.8.0.1. باش يتم الاستغلال ديالها، خاص يكون عند المهاجم حساب عن بعد مصادق عليه وبصلاحيات إدارية باش يقدر يدير تنفيذ لكود عن بعد (RCE).

أكدات Ivanti فالتنبيه الأمني ديالها بلي كاين عدد محدود ديال الزبناء تعرضو للاستغلال فالعالم الحقيقي. الشركة صرحات: "حنا على علم بعدد محدود جداً ديال الزبناء لي تم استغلالهم بواسطة CVE-2026-6973."

استجابت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) لهادشي وزادت هاد الثغرة لـ KEV catalog للمخاطر المستغلة المعروفة. هاد الإجراء كيتعتبر توجيه قانوني ملزم كيفرض على وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) يطبقو الترقيعات قبل 10 ماي 2026.

وفي نفس الوقت، خرّجات Ivanti إصلاحات لربعة ديال الثغرات إضافية حتى هي كيقيسو EPMM:

• CVE-2026-5786 (CVSS 8.8): غياب التحكم السليم فالوصول (improper access control) لي كيخلي مهاجمين عن بعد بمصادقة ياخدو صلاحيات إدارية.
• CVE-2026-5787 (CVSS 8.9): غياب التحقق السليم من الشهادات (certificate validation) لي كيمكن مهاجمين عن بعد بلا مصادقة ينتحلو صفة ديال Sentry hosts مسجلين باش ياخدو شهادات client صحيحة وموقعة من CA.
• CVE-2026-5788 (CVSS 7.0): غياب التحكم السليم فالوصول لي كيمكن مهاجمين عن بعد بلا مصادقة يستدعيو methods عشوائية.
• CVE-2026-7821 (CVSS 7.4): غياب التحقق السليم من الشهادات لي كيمكن مهاجمين عن بعد بلا مصادقة يسجلو أجهزة من مجموعة مقيدة، وهادشي كيؤدي لتسريب معلومات على جهاز EPMM الأجهزة ديالو.

هاد الثغرات بخمسة كيأثرو غير على منتج EPMM المحلي (on-premises). هاد المشاكل ما كيقيسوش Ivanti Neurons for MDM (حل سحابي لإدارة الأجهزة)، Ivanti EPM (منتج مستقل)، Ivanti Sentry، أو أي منتجات أخرى ديال Ivanti.

علاش هادشي مهم

بالنسبة للمدافعين و sysadmins لي مكلفين بتسيير أنظمة EPMM، هاد الثغرات كيشكلو خطر تشغيلي مباشر. الثغرة CVE-2026-6973 كتشكل خطر كبير لأن الاستغلال النشط ديالها مؤكد، واخا محدود. الحاجة لبيانات اعتماد إدارية كتحط شوية ديال القيود على مساحة الهجوم (المهاجم خاصو يجيب بيانات اعتماد إدارية صحيحة فالبداية)، ولكن التأثير ديال الاستغلال الناجح (تنفيذ كود عن بعد) كيبقى خطير بزاف.

دخول الثغرة CVE-2026-6973 فـ لائحة KEV ديال CISA كيبين بلي كاين نشاط هجومي متزايد، وكيفرض التزامات ديال الامتثال على الوكالات الفيدرالية. المؤسسات فالقطاعات المنظمة (regulated) أو لي كتدعم العمليات الحكومية خاصها تتعامل مع المهلة ديال 10 ماي كحد أقصى مافيهش نقاش.

الثغرات المرافقة كتزيد توسع مساحة الهجوم كتر. الثغرات CVE-2026-5787 و CVE-2026-5788 ما كيحتاجوش لمصادقة، وهادشي كيسهل المأمورية على المهاجمين لي ماعندهومش حسابات. الثغرات CVE-2026-5787 (انتحال الشهادات) و CVE-2026-7821 (تسجيل الأجهزة فمجموعات مقيدة) كيشكلو قلق كبير فالبيئات لي كتعتابر هوية الجهاز (device identity) ومراكز الثقة راكيزة أساسية لهيكلة zero-trust واﻷمن المعتمد على الأجهزة.

محللي SOC خاصهم يتوقعو بلي المهاجمين يقدرو يجمعو هاد الثغرات (chaining) مع بعضياتهم باش ينفذو الهجوم: المهاجم بلا مصادقة يقدر يخدم CVE-2026-5788 باش يستدعي الـ methods، ومن بعد يدوز باش ياخد بيانات اعتماد إدارية باش يخدمها فـ CVE-2026-6973 وينفذ الكود ديالو.

الأنظمة المصابة و CVEs

• الإصدارات ديال Ivanti Endpoint Manager Mobile (EPMM) لي قبل من 12.6.1.1، 12.7.0.1، و 12.8.0.1
  • CVE-2026-6973 (CVSS 7.2)
  • CVE-2026-5786 (CVSS 8.8)
  • CVE-2026-5787 (CVSS 8.9)
  • CVE-2026-5788 (CVSS 7.0)
  • CVE-2026-7821 (CVSS 7.4)

شنو المعمول

• ديرو تحديث لـ EPMM للإصدار 12.6.1.1، 12.7.0.1، أو 12.8.0.1 أو ما أحدث.
• يلا كانت المؤسسة ديالكم تخترقات قبل بسبب الثغرات CVE-2026-1281 أو CVE-2026-1340، خاصكم تبدلو ڭاع بيانات اعتماد الإدارية (rotate credentials). هاد الخطوة لي كينصحو بيها فـ Ivanti كتقلل بزاف من خطر استغلال الثغرة CVE-2026-6973.
• يلا كنتو وكالة فيدرالية أمريكية تابعة لسلطة FCEB، عطيو الأولوية للترقيع باش تحتارمو الموعد النهائي ديال 10 ماي 2026.
• راجعو سجلات الولوج (access logs) باش تقلبو على أي نشاط إداري مشبوه ولا شي دليل ديال محاولات الاستغلال.
• يلا كان EPMM معروض للأنترنيت ولا مفتوح للشبكات لي ماموثوقاش، فكرو فتقسيم الشبكة (network segmentation) ولا ديرو قيود للوصول بيتما يتم تطبيق الترقيع.

أسئلة مفتوحة

• ההوية ديال أي فاعل تهديد (threat actor) كيقوم بهاد الاستغلال باقة مجهولة.
• مازال ماتأكدش واش شي وحدة من هاد محاولات الاستغلال المحدودة نجحات ولا لا.
• الأهداف النهائية ديال المهاجمين (التجسس، التحرك الجانبي، التموضع المستمر، أو التخريب) باقة ما تعلناتش.
• العدد الحقيقي ديال الزبناء المتضررين من غير عبارة "محدود جداً" ماتحددش من طرف Ivanti.

Source

Ivanti EPMM CVE-2026-6973 RCE Under Active Exploitation Grants Admin-Level Access