ماذا حدث
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرةً جديدة تطال نظام Ivanti Sentry إلى قائمتها للثغرات المستغَلة فعلياً المعروفة بـ KEV Catalog، وذلك يوم الخميس الماضي. تحمل الثغرة المعرّف CVE-2026-10520 وتستدعي من الوكالات الفيدرالية الأمريكية معالجتها خلال ثلاثة أيام فحسب، استناداً إلى توجيه BOD 26-04 الخاص بترتيب أولويات التصحيح وفق مستوى المخاطر.
بيد أن شركة Ivanti خرجت بموقف مغاير، إذ أشارت إلى أن ما رصدته CISA لم يعدُ كونه محاولات استغلال جرت على مصائد اصطياد (Honeypots) مُعدَّة لاكتشاف السلوك الخبيث، لا على أنظمة إنتاجية فعلية.
التفاصيل
تُصنَّف CVE-2026-10520 بوصفها ثغرة حقن أوامر نظام التشغيل (OS Command Injection) في منتج Ivanti Sentry، وتحمل درجة خطورة قصوى بلغت 10 من 10 وفق معيار CVSS. ما يجعلها بالغة الخطورة نظرياً هو إمكانية استغلالها عن بُعد دون الحاجة إلى أي مصادقة، مع الحصول على صلاحيات الجذر (Root Privileges) الكاملة على النظام المستهدَف.
أطلقت Ivanti تصحيحات الثغرة في 10 يونيو 2025، معلنةً آنذاك عدم رصدها لأي استغلال في البيئات الحقيقية. وتتضمن الإصدارات المُصحَّحة: 10.5.2 و10.6.2 و10.7.1.
عقب إدراج CISA للثغرة في قائمة KEV، حدّثت Ivanti نشرتها الأمنية لتعكس هذا الإدراج، لكنها أوضحت في الوقت ذاته أنه استند إلى محاولات استغلال لمصائد اصطياد وليس أنظمة حقيقية. وأكدت الشركة أن الاستغلال الفعلي للثغرة يستلزم الوصول إلى منفذ الإدارة 8443، مشيرةً إلى أن واجهات الإدارة لا ينبغي بأي حال أن تكون مكشوفةً على الإنترنت، في حين تُعدُّ مصائد الاصطياد متعمَّد التهيئة الخاطئة فيها لاكتشاف السلوك الخبيث.
من جانبها، أشارت CISA إلى أن الثغرة قابلة للاستغلال الناجح حين يكون جهاز Sentry في حالة غير مُدارة مع إمكانية الوصول الخارجي إلى نقاط نهايته. في المقابل، أوضحت أن استخدام بروتوكول mTLS مع منتج EPMM، أو تقييد وصول HTTPS عبر Neurons for MDM، يجعل الواجهات بعيدة عن متناول الجهات الخارجية.
وتفصيلاً للسياق التقني، أوضحت Ivanti أن واجهات برمجة التطبيقات (APIs) المتضمِّنة للثغرة محمية بـ mTLS في أجهزة Sentry المُدارة عبر EPMM، وأن أجهزة Sentry غير المُدارة لا يمكن استخدامها في بيئات الإنتاج أصلاً، إذ تعتمد على الإدارة لضخ إعدادات اتصال الأجهزة والمصادقة.
لماذا يهمّك
يكشف هذا الحادث عن توتر متكرر بين جهات التحذير الأمني ومصنّعي المنتجات حول تعريف «الاستغلال الفعلي». فبينما تلتزم CISA معايير إدراج صارمة في قائمة KEV، يرى المصنّع أن ما رُصد لم يتجاوز بيئات اختبار مصطنعة. وفي كلتا الحالتين، يظل وجود ثغرة بدرجة خطورة كاملة في منتج متوسع الانتشار مؤشراً جدياً يستوجب اهتمام فرق الأمن والمشغّلين.
كذلك يسلّط الحادث الضوء على إشكالية مزمنة وهي كشف واجهات الإدارة على الإنترنت، وهو خطأ إعداد شائع يتحول في وجود ثغرات كهذه إلى باب مفتوح للمهاجمين.
توصيات
- تطبيق تصحيحات Ivanti Sentry فوراً للترقية إلى الإصدارات 10.5.2 أو 10.6.2 أو 10.7.1.
- التحقق من أن منفذ الإدارة 8443 غير مكشوف على الإنترنت العام وعزله خلف جدران حماية صارمة.
- تفعيل بروتوكول mTLS للأجهزة المُدارة عبر EPMM، وتقييد وصول HTTPS لأجهزة Neurons for MDM.
- مراجعة إعدادات النشر للتأكد من أن أجهزة Sentry تعمل في وضع مُدار ولا تواجه الإنترنت مباشرةً.
