CISA سه آسیبپذیری مهم در SolarWinds Web Help Desk، Ivanti Endpoint Manager و Workspace One UEM را به فهرست KEV افزود.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) سه آسیبپذیری CVE-2021-22054، CVE-2025-26399 و CVE-2026-1603 را به فهرست Known Exploited Vulnerabilities اضافه کرد. این نقصها در محصولات Omnissa Workspace One UEM، SolarWinds Web Help Desk و Ivanti Endpoint Manager قرار دارند و شواهدی از بهرهبرداری فعال آنها در حملات سایبری وجود دارد. CISA به نهادهای دولتی آمریکا دستور داده است این آسیبپذیریها را در بازه زمانی تعیینشده اصلاح کنند.
آژانس Cybersecurity and Infrastructure Security Agency اعلام کرد سه آسیبپذیری امنیتی مهم در محصولات سازمانی بهطور فعال در حملات سایبری مورد بهرهبرداری قرار گرفتهاند و به همین دلیل به فهرست Known Exploited Vulnerabilities (KEV) افزوده شدهاند.
این آسیبپذیریها در محصولات شرکتهای SolarWinds، Ivanti و Omnissa شناسایی شدهاند.
فهرست آسیبپذیریهای افزودهشده به KEV
سه نقص امنیتی که به این فهرست اضافه شدهاند عبارتاند از:
CVE-2021-22054
این آسیبپذیری در محصول Workspace One UEM مشاهده شده است. این نقص از نوع Server-Side Request Forgery (SSRF) است و میتواند به مهاجمی که به شبکه دسترسی دارد اجازه دهد بدون احراز هویت درخواستهایی را به سیستم ارسال کند و به اطلاعات حساس دسترسی پیدا کند.
CVE-2025-26399
این نقص در مؤلفه AjaxProxy محصول SolarWinds Web Help Desk قرار دارد. آسیبپذیری از نوع Deserialization of Untrusted Data است و در صورت بهرهبرداری میتواند به مهاجم امکان اجرای دستورات در سیستم میزبان را بدهد. امتیاز CVSS این نقص ۹.۸ اعلام شده که نشاندهنده سطح بحرانی آن است.
CVE-2026-1603
این نقص در Ivanti Endpoint Manager وجود دارد و از نوع Authentication Bypass است. مهاجم از راه دور و بدون احراز هویت میتواند از مسیر جایگزین به سامانه دسترسی یافته و دادههای اعتبارنامه ذخیرهشده را استخراج کند.
ارتباط با حملات باجافزاری
افزوده شدن آسیبپذیری SolarWinds به KEV پس از آن رخ داد که گزارشهایی از شرکت Microsoft و شرکت امنیتی Huntress منتشر شد که نشان میداد مهاجمان از نقصهای SolarWinds Web Help Desk برای دستیابی اولیه به شبکهها استفاده میکنند.
طبق این گزارشها، این فعالیتها احتمالاً به گروه باجافزاری Warlock نسبت داده شده است که در حملات اخیر به سازمانها نقش داشته است.
کمپین هماهنگ SSRF
در مورد آسیبپذیری CVE-2021-22054 نیز شرکت اطلاعات تهدید GreyNoise در سال ۲۰۲۵ اعلام کرده بود این نقص در کنار چند آسیبپذیری SSRF دیگر در محصولات مختلف، در قالب یک کمپین هماهنگ مورد سوءاستفاده قرار گرفته است.
وضعیت بهرهبرداری آسیبپذیری Ivanti
در خصوص نقص CVE-2026-1603، جزئیات دقیق نحوه بهرهبرداری هنوز منتشر نشده است. با این حال، شرکت امنیتی Defused Cyber در شبکه اجتماعی X گزارش داده بود تلاشهای فعال برای سوءاستفاده از این آسیبپذیری مشاهده شده و منشأ یکی از حملات از آدرس IP 103.69.224.98 بوده است.
در زمان انتشار این گزارش، بولتن امنیتی Ivanti هنوز وضعیت بهرهبرداری فعال را منعکس نکرده و این شرکت اعلام کرده است که گزارشی از سوءاستفاده علیه مشتریان خود دریافت نکرده است.
دستور فوری برای بروزرسانی
بهمنظور کاهش خطر حملات، CISA به نهادهای دولتی آمریکا در شاخه Federal Civilian Executive Branch (FCEB) دستور داده است:
- آسیبپذیری SolarWinds Web Help Desk را تا ۱۲ مارس ۲۰۲۶ اصلاح کنند.
- دو آسیبپذیری دیگر را حداکثر تا ۲۳ مارس ۲۰۲۶ بروزرسانی کنند.
این دستور بر اساس Binding Operational Directive 22-01 صادر شده است که نهادهای دولتی را ملزم میکند نقصهای موجود در فهرست KEV را در زمان تعیینشده اصلاح کنند.
CISA تأکید کرده است که چنین آسیبپذیریهایی اغلب بهعنوان بردار اولیه حمله توسط مجرمان سایبری استفاده میشوند و میتوانند تهدیدی جدی برای زیرساختهای سازمانی و دولتی محسوب شوند.