🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الثغرات الأمنية في إدارة الأجهزة المحمولة: تهديد جديد يستهدف قطاعات حيوية

1–2 minutes

في تطور مثير في مجال الأمن السيبراني، تم استغلال ثغرتين أمنيتين حديثتي التصحيح في برنامج Ivanti Endpoint Manager Mobile (EPMM) من قبل مجموعة تهديد مرتبطة بالصين لاستهداف مجموعة واسعة من القطاعات في أوروبا، أمريكا الشمالية، ومنطقة آسيا والمحيط الهادئ. تعتبر هذه الحوادث تذكيرًا ملحًا بأهمية الحماية من التهديدات السيبرانية المستمرة والمتطورة.

تحليل مفصل وسياق الأحداث

تم تتبع الثغرات تحت معرفات CVE-2025-4427 وCVE-2025-4428، بدرجات خطورة CVSS تبلغ 5.3 و7.2 على التوالي. تسمح هذه الثغرات بتنفيذ تعليمات برمجية عشوائية على الأجهزة المعرضة للخطر دون الحاجة إلى مصادقة. وقد قامت شركة Ivanti بمعالجة هذه الثغرات في وقت سابق.

وفقًا لتقرير من شركة EclecticIQ، استُغلت هذه الثغرات من قبل مجموعة التجسس السيبراني الصينية UNC5221، المعروفة باستهدافها لأجهزة الشبكات الطرفية منذ عام 2023. ومؤخرًا، نُسبت المجموعة إلى جهود استغلال تستهدف أنظمة SAP NetWeaver المعرضة للثغرة CVE-2025-31324.

القطاعات المستهدفة وأهمية الحماية

بدأت أنشطة الاستغلال في 15 مايو 2025، مستهدفة قطاعات مثل الرعاية الصحية، الاتصالات، الطيران، الحكومات المحلية، المالية، والدفاع. تبرز أهمية هذه القطاعات كأهداف مغرية نظرًا للبيانات الحساسة التي تحتفظ بها والبنية التحتية الحرجة التي تديرها.

تأثير واستنتاجات أمنية

يعكس هذا الهجوم فهمًا عميقًا لهندسة EPMM الداخلية، حيث يتم إعادة استخدام مكونات النظام الشرعية لاستخراج البيانات بشكل خفي. إن دور EPMM في إدارة ودفع التكوينات إلى الأجهزة المحمولة ضمن المؤسسات يجعل من الاستغلال الناجح فرصة للجهات الخبيثة للوصول عن بعد، والتلاعب، أو حتى اختراق آلاف الأجهزة المدارة داخل المنظمة.

توسع وتحليل الخبراء

يتضمن تسلسل الهجوم استهداف نقطة النهاية “/mifs/rs/api/v2/” للحصول على قشرة عكسية تفاعلية وتنفيذ أوامر عشوائية عن بعد على نشرات Ivanti EPMM. يتبع ذلك نشر KrustyLoader، وهو محمل يعتمد على Rust ومُعزى إلى UNC5221، مما يمكن من تسليم حمولات إضافية مثل Sliver.

بالإضافة إلى ذلك، تم رصد استهداف قاعدة بيانات mifs باستخدام بيانات اعتماد MySQL المشفرة. هذا يسمح بالوصول غير المصرح به إلى البيانات الحساسة، مما يمنح المهاجمين رؤية على الأجهزة المحمولة المدارة، مستخدمي LDAP، ورموز التجديد والوصول لـOffice 365.

التأمل والنقاش

ما الذي يمكن أن تفعله المؤسسات لحماية أجهزتها من مثل هذه التهديدات المعقدة؟ وكيف يمكن لمجال الأمن السيبراني أن يتطور لمواجهة التهديدات المتزايدة من المجموعات المرتبطة بالدول؟ شاركونا آرائكم عبر فيسبوك وتويتر. #الأمن_السيبراني

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة