אבטחת סייבר CISA עדכוני אבטחה יום אפס Ivanti CVE-2026-6973 EPMM פגיעות ברשת תוקפים מתקדמים

תוקפים ממשיכים למקד את מאמציהם בלקוחות Ivanti, הפעם באמצעות ניצול של פגם חדש מסוג אפס יום במוצר מרכזי של החברה. על פי התרעה רשמית שפורסמה ביום חמישי האחרון, תוקפים מנצלים כעת את CVE-2026-6973 – פגם באימות קלט לא תקין ב-Ivanti Endpoint Manager Mobile (EPMM) המאפשר למשתמשים בעלי הרשאות מנהל להריץ קוד מרחוק במערכת.

החברה הודיעה כי היא מודעת לשימוש מוגבל בפגם זה בטבע, אך טרם פרסמה פרטים על מועד תחילת ההתקפות או היקף הנפגעים. במקביל, חשפה Ivanti ארבעה פגמים נוספים בעלי דרגת חומרה גבוהה באותו מוצר, אשר טרם נוצלו על ידי תוקפים.

תגובת רשויות האבטחה והחברה

סוכנות Cybersecurity and Infrastructure Security Agency (CISA) הוסיפה את הפגם לקטלוג הפגיעויות המנוצלות בפועל תוך שעות ספורות לאחר פרסום ההתרעה על ידי Ivanti. החברה פרסמה עדכוני אבטחה לכל חמשת הפגמים, ביניהם:

  • CVE-2026-5787
  • CVE-2026-5788
  • CVE-2026-6973 (הפגם החדש)
  • CVE-2026-7821

לטענת החברה, ארבעה מהפגמים טרם נוצלו בטבע, ואילו הפגם החדש דורש גישה מנהלית מאומתת כדי לנצל אותו. מנהלת המחקר באבטחה בוולנקאט, Caitlin Condon, ציינה כי דרישת ההרשאות הגבוהות עשויה להצביע על כך שהפגם שולב בשרשרת התקפות שכבר הצליחה לחדור למערכות באמצעות שיטות אחרות.

קשר לפגמים קודמים ולקבוצות תקיפה

Ivanti ציינה כי אחד הגורמים לפגם החדש עשוי להיות קשור לפגמים קריטיים קודמים שזוהו בינואר האחרון – CVE-2026-1281 ו-CVE-2026-1340 – אשר ניצלו על ידי קבוצות תקיפה שונות, כולל קבוצות המזוהות עם סין ואיראן. פגמים אלו היו פגמי הזרקת קוד שניתנים לניצול מרחוק ללא צורך באימות, בניגוד לפגם הנוכחי.

הפגמים הקודמים גרמו לנזק נרחב שכלל קרוב ל-100 נפגעים, ביניהם רשות הגנת המידע ההולנדית והמועצה לשופטים במדינה. בעקבות זאת, Ivanti המליצה ללקוחותיה לבצע סיבוב מחדש של אישורי הגישה ל-EPMM, צעד שיכול להפחית משמעותית את הסיכון לניצול הפגם הנוכחי.

«הפגם החדש דורש גישה מנהלית מאומתת, ולכן לקוחות שפעלו לפי ההמלצות שלנו בינואר על ידי החלפת אישורי הגישה נמצאים בסיכון נמוך משמעותית. גם לקוחות שלא נפגעו מהפגמים הקודמים נמצאים בסיכון נמוך יותר», אמרה דוברית החברה.

המלצות ללקוחות

Ivanti הדגישה כי גילתה את הפגמים באמצעות תהליכי זיהוי פנימיים נתמכי בינה מלאכותית, שיתוף פעולה עם לקוחות ודיווח אחראי. אחד הפגמים אף דווח על ידי עובד לשעבר של החברה. החברה קראה ללקוחותיה להתקין את העדכונים הדחופים בהקדם האפשרי ולנקוט בצעדים נוספים להפחתת הסיכונים, כולל:

  • ביצוע סיבוב מחדש של כל אישורי הגישה למערכת
  • בדיקת יומני המערכת לאיתור פעילות חשודה
  • הגברת הניטור אחר ניסיונות גישה לא שגרתיים

התקפות על מוצרי Ivanti הפכו לתופעה חוזרת ונשנית, כאשר מספר רב של פגמים ניצלו על ידי תוקפים טרם החברה הצליחה לזהותם ולטפל בהם. מומחים מעריכים כי הסיבה לכך נעוצה במורכבות המוצרים ובחוסר ההגנה המתאים ברשתות הקצה.

מקור: CyberScoop
OpenAI משחררת גרסה מוגבלת של מודל הבינה המלאכותית שלה למגיני סייבר
← הקודם

OpenAI משחררת גרסה מוגבלת של מודל הבינה המלאכותית שלה למגיני סייבר

 תביעה נגד מאמן הקבוצה קנזס סיטי נדחתה: התיק נגד דיב מריט נסגר
הבא →

תביעה נגד מאמן הקבוצה קנזס סיטי נדחתה: התיק נגד דיב מריט נסגר