وكالة الأمن السيبراني الأمريكية تطلق تحذيرًا بشأن وجود مجموعتين من البرمجيات الخبيثة في شبكة إحدى المؤسسات، حيث تستغلان ثغرات في نظام إدارة نقاط النهاية المتنقلة (EPMM) من شركة Ivanti. تم تحديد هذه الثغرات تحت رمزي CVE-2025-4427 وCVE-2025-4428، وقد استُغلت في هجمات اليوم الصفري قبل أن تصدر Ivanti تحديثات في مايو 2025. تتيح الثغرة الأولى تجاوز عملية المصادقة للوصول إلى الموارد المحمية، بينما تُمكّن الثانية من تنفيذ التعليمات البرمجية عن بُعد، مما يسهل تنفيذ أوامر غير مصرح بها على خادم EPMM. بدأت الهجمة حوالي 15 مايو 2025، باستخدام كود استغلال تم نشره قبل ذلك بقليل. استغل المهاجمون هذا الوصول لتنفيذ أوامر لجمع معلومات النظام، وتحميل ملفات خبيثة، وسرد محتويات الدليل الجذر، وإجراء استطلاع للشبكة، وإنشاء تفريغ للذاكرة، واستخراج بيانات اعتماد LDAP. تم تحميل الملفات الخبيثة إلى دليل /tmp على الخادم لضمان الاستمرارية من خلال حقن وتنفيذ كود عشوائي. أطلق ملف JAR فئة Java تعمل كمتنصت HTTP خبيث، يعترض الطلبات، ويفك تشفير الحمولات، وينشئ فئة جديدة تُنفذ في الذاكرة. قام ReflectUtil.class بالتلاعب بكائنات Java، وحقن مكون SecurityHandlerWanListener في Apache Tomcat لاعتراض طلبات HTTP وتنفيذ الفئة المولدة. قامت WebAndroidAppInstaller.class بفك تشفير معلمة كلمة المرور لإنشاء وتنفيذ فئة جديدة، وإعادة تشفير النتيجة للاستجابة. مكنت هذه الأساليب من تنفيذ التعليمات البرمجية عن بُعد، واستمرارية النظام، وتنظيم مراحل هجوم إضافية، بما في ذلك اعتراض حركة مرور HTTP لاستخراج البيانات. يُحث المسؤولون على تحديث تثبيتات Ivanti EPMM، وتعزيز المراقبة، وتقييد الوصول إلى نظام إدارة الأجهزة المحمولة لمنع هجمات مشابهة.
هل توجد ثغرات في برنامج إدارة الأجهزة المحمولة من Ivanti؟
