هشدار تازه CISA درباره Ivanti EPM

آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) اعلام کرده آسیب‌پذیری پرریسک CVE-2026-1603 در Ivanti Endpoint Manager اکنون در حملات واقعی مورد بهره‌برداری قرار می‌گیرد. این نقص از نوع bypass احراز هویت است و می‌تواند در سناریوهای XSS با پیچیدگی پایین، به سرقت داده‌های اعتباری منجر شود. Ivanti این مشکل را در نسخه EPM 2024 SU5 بروزرسانی کرده، اما CISA با افزودن آن به فهرست KEV، اصلاح فوری را الزامی دانسته است. در همین بازه، گزارش‌ها از وجود بیش از ۷۰۰ نمونه اینترنت‌-مواجه Ivanti EPM حکایت دارند که بخش عمده آن‌ها در آمریکای شمالی قرار دارند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، CISA، آسیب‌پذیری CVE-2026-1603 در Ivanti Endpoint Manager (EPM) را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده و آن را به‌عنوان موردی با بهره‌برداری فعال در دنیای واقعی معرفی کرده است. این تصمیم به‌معنای آن است که از نگاه CISA، شواهد کافی برای سوءاستفاده عملی از این نقص وجود دارد و سازمان‌ها نباید آن را صرفاً یک ریسک نظری تلقی کنند.

طبق داده‌های CISA، این ضعف یک Authentication Bypass در Ivanti EPM است که به یک مهاجم از راه دور و بدون نیاز به دسترسی قبلی اجازه می‌دهد برخی داده‌های ذخیره‌شده را افشا کند. صفحه رسمی Ivanti نیز توضیح می‌دهد که این نقص در نسخه‌های پیش از EPM 2024 SU5 وجود دارد و مهاجم می‌تواند از آن برای نشت اطلاعات حساس استفاده کند.

اهمیت این خبر از آن‌جا بیشتر می‌شود که Ivanti EPM یک سامانه متمرکز برای مدیریت endpointها در محیط‌های Windows، macOS، Linux، Chrome OS و IoT است. چنین جایگاهی باعث می‌شود هر نقص امنیتی در آن، فقط محدود به یک سرویس جانبی نباشد و بتواند به داده‌های مدیریتی، اطلاعات اعتبارنامه یا مسیرهای کنترلی حساس در سازمان دسترسی بدهد.

Ivanti این آسیب‌پذیری را حدود یک ماه قبل، همزمان با انتشار EPM 2024 SU5، بروزرسانی کرده بود. در همان advisory، شرکت علاوه بر CVE-2026-1603 به یک نقص SQL Injection دیگر نیز اشاره کرده بود که می‌تواند به مهاجمِ احراز هویت‌شده امکان خواندن داده‌های دلخواه از پایگاه داده را بدهد. با این حال، Ivanti در advisory رسمی خود نوشته بود که پیش از افشای عمومی، از بهره‌برداری علیه مشتریانش اطلاعی نداشته و این موارد از طریق برنامه responsible disclosure به آن گزارش شده‌اند.

اینجا یک نکته مهم وجود دارد: بین موضع CISA و موضع اولیه Ivanti فاصله دیده می‌شود. CISA اکنون این نقص را «actively exploited» طبقه‌بندی کرده، اما Ivanti در زمان انتشار advisory گفته بود گزارشی از سوءاستفاده علیه مشتریان دریافت نکرده است. این به‌معنای تناقض قطعی نیست؛ بیشتر نشان می‌دهد شواهد بهره‌برداری ممکن است بعد از انتشار بروزرسانی و از مسیرهای اطلاعاتی دیگر در اختیار CISA قرار گرفته باشد.

افزودن CVE-2026-1603 به KEV یک پیام عملیاتی روشن هم دارد. بر اساس الزامات BOD 22-01، نهادهای Federal Civilian Executive Branch (FCEB) باید این نقص را حداکثر تا ۲۳ مارس ۲۰۲۶ اصلاح کنند. هرچند این الزام مستقیماً برای همه سازمان‌ها اجباری نیست، اما در عمل KEV برای بخش خصوصی هم یک شاخص اولویت بسیار مهم محسوب می‌شود؛ به‌ویژه وقتی موضوع، یک ابزار مدیریت endpoint با دسترسی گسترده در سطح سازمان باشد.

در همین زمینه، BleepingComputer گزارش داده که پلتفرم Shadowserver بیش از ۷۰۰ نمونه اینترنت‌-مواجه از Ivanti EPM را ردیابی کرده و بیشتر آن‌ها در آمریکای شمالی قرار دارند. هنوز روشن نیست چه تعداد از این نمونه‌ها همچنان در برابر CVE-2026-1603 آسیب‌پذیر هستند، اما همین سطح exposure نشان می‌دهد دامنه بالقوه ریسک کم نیست.

در سال گذشته نیز CISA چند آسیب‌پذیری دیگر در Ivanti EPM را به‌عنوان موارد در حال بهره‌برداری معرفی کرده بود و از نهادهای فدرال خواسته بود نسبت به اصلاح فوری آن‌ها اقدام کنند. این سابقه نشان می‌دهد محصولات Ivanti EPM برای مهاجمان هدفی تکرارشونده هستند و نباید با منطق «هنوز چیزی ندیده‌ایم» مدیریت شوند.

برای سازمان‌هایی که از Ivanti Endpoint Manager استفاده می‌کنند، جمع‌بندی عملی روشن است:

نسخه سامانه باید فوراً بررسی شود، اگر هنوز روی نسخه‌ای پیش از 2024 SU5 قرار دارد باید بدون تأخیر ارتقا یابد، دسترسی اینترنتی مستقیم به کنسول‌ها باید محدود شود، و لاگ‌های احراز هویت و رخدادهای وب برای هرگونه الگوی غیرعادی بازبینی شوند. وقتی CISA یک نقص را در KEV قرار می‌دهد، فرض محافظه‌کارانه این است که زمان امنِ تعلل تقریباً تمام شده است.