⚡ أبرز النقاط

جرى الإفصاح في 10 يونيو 2026 عن ثغرة zero-day بالغة الخطورة (CVSS 10.0) من نوع حقن أوامر نظام التشغيل، تحمل المعرّف CVE-2026-10520، في منتج Ivanti Sentry، تتيح لمهاجمين بعيدين غير مصادقين تنفيذ أوامر عشوائية بصلاحيات الجذر على بوابة الأجهزة المحمولة. ثغرة مرافقة لتجاوز المصادقة (CVE-2026-10523، CVSS 9.9) تُمكّن من إنشاء حسابات إدارية مزيّفة على الجهاز ذاته. وفي أقل من 40 ساعة من نشر إثبات مفهوم علني، أكّدت مؤسسة Shadowserver أن اثنتين على الأقل من 19 نقطة مكشوفة قد زُرع فيها أبواب خلفية بشكل نشط.

الخلاصة: يجب على المنظمات التي تشغّل Ivanti Sentry الترقية فوراً إلى الإصدارات المُصحَّحة (10.7.1 أو 10.6.2 أو 10.5.2)، وتشغيل نص الكشف الخاص بـ watchTowr للتحقق من فاعلية التصحيح، وإجراء مراجعة جنائية لأي نقطة كانت مكشوفة على الإنترنت بين 10 يونيو وتاريخ التصحيح. إذا تعذّر التصحيح الفوري، قيّد الوصول إلى واجهة إدارة MICS (TCP 8443) على الشبكات الداخلية الموثوقة فحسب كإجراء مؤقت.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
مرتفعة
Assessment: مرتفعة. Review the full article for detailed context and recommendations.
البنية التحتية جاهزة؟
جزئياً
Assessment: جزئياً. Review the full article for detailed context and recommendations.
المهارات متوفرة؟
جزئياً
Assessment: جزئياً. Review the full article for detailed context and recommendations.
الجدول الزمني للتحرك
فوري
Assessment: فوري. Review the full article for detailed context and recommendations.
أصحاب المصلحة الرئيسيون
المسؤولون عن الأمن السيبراني (CISO)، فرق أمن تكنولوجيا المعلومات، مديرو الشبكات، إدارات تكنولوجيا المعلومات في القطاع العام
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: يجب على المؤسسات والهيئات الجزائرية التي تستخدم Ivanti Sentry أو أي بوابة MDM مكشوفة على الإنترنت التعامل مع CVE-2026-10520 باعتبارها معالجة عاجلة ذات أولوية قصوى. مع درجة CVSS القصوى واستغلال علني وزرع أبواب خلفية مؤكد في أقل من 40 ساعة، ضاقت نافذة التصحيح الآمن بشكل كبير. على المنظمات العاجزة عن التصحيح الفوري تقييد الوصول إلى واجهة إدارة MICS الخاصة بـ Sentry من الشبكات الخارجية كإجراء مؤقت، وإطلاق مراجعة جنائية لأي نقطة كانت مكشوفة منذ 10 يونيو 2026.

إعلان

العاصفة المثالية: الدرجة القصوى، بلا بيانات اعتماد، وصلاحيات جذرية

حين يتحدث مجتمع الأمن السيبراني عن ثغرة بالغة الخطورة، يدور الحديث عادةً حول ثلاثة عوامل متقاطعة: لا يحتاج المهاجم إلى أي بيانات اعتماد، والخدمة المُصابة مكشوفة على الإنترنت، ويُتيح الاستغلال الناجح أعلى مستوى ممكن من الصلاحيات. CVE-2026-10520 تجمع هذه الشروط الثلاثة في آنٍ واحد.

أعلنت Ivanti عن هذه الثغرة في 10 يونيو 2026، فحصلت على الدرجة القصوى في نظام CVSS وهي 10.0. تكمن الثغرة في Ivanti Sentry — بوابة الأجهزة المحمولة الآمنة الخاصة بالشركة، التي تجلس بين هواتف الموظفين وأجهزتهم اللوحية من جهة، والشبكة المؤسسية خلفها من جهة أخرى. مهمتها تطبيق السياسات وتوجيه حركة مرور البيانات من عملاء إدارة الأجهزة المحمولة (MDM). وتحديداً هذا الموضع المركزي الموثوق هو ما يجعل الاستغلال بالغ الخطورة: فبمجرد أن يسيطر المهاجم على البوابة، يكتسب موضعاً متميزاً داخل المحيط الشبكي.

السبب الجذري، كما وثّقه فريق استخبارات التهديدات في Rapid7، هو نقطة نهاية HTTP POST — /mics/api/v2/sentry/mics-config/handleMessage — التي تكشفها الفئة ConfigServiceController داخل mics.war، وهو التطبيق المشغّل لواجهة إعداد Sentry تحت Apache Tomcat. صُمِّمت هذه النقطة للأوامر الداخلية للإعداد لكنها خلت تماماً من أي حاجز مصادقة. يستطيع المهاجم إرسال طلب POST مُصنَّع يحمل معاملاً خبيثاً باسم message، يقوم الخادم الخلفي بتحليله كأمر إعداد داخلي لنظام MICS وينفّذه مباشرةً بصلاحيات الجذر. لا تسجيل دخول، لا رمز مميز (token)، ولا موطئ قدم مسبق مطلوب.

الثغرة المرافقة التي تُضاعف الضرر

لا تسير CVE-2026-10520 وحدها. قامت Ivanti في الوقت ذاته بتصحيح CVE-2026-10523، وهي ثغرة تجاوز مصادقة (authentication bypass) بدرجة CVSS 9.9. تتيح هذه الثغرة الثانية لمستخدم بعيد غير مصادق إنشاء حسابات إدارية عشوائية على الجهاز ذاته.

تُشكّل الثغرتان سلسلة هجوم طبيعية. يمكن للمهاجم استخدام CVE-2026-10523 لإنشاء حساب إداري مزيّف بصمت، ثم الانتقال إلى CVE-2026-10520 لتنفيذ أوامر نظام التشغيل بصلاحيات الجذر — مُرسِّخاً بذلك استمراريته حتى بعد إعادة تعيين كلمة المرور. وبديلاً عن ذلك، تكفي CVE-2026-10520 وحدها لنشر باب خلفي (backdoor) أو غلاف ويب (web shell) دون الحاجة إلى إنشاء أي حساب.

الإصدارات المتأثرة تشمل ثلاث فروع نشطة:

  • Ivanti Sentry 10.7.0 وما دونه
  • Ivanti Sentry 10.6.1 وما دونه
  • Ivanti Sentry 10.5.1 وما دونه

الإصدارات المُصحَّحة هي 10.7.1 و10.6.2 و10.5.2 على التوالي. أشار إشعار Ivanti إلى أن الإصلاح تضمّن منع السلاسل التي يُدخلها المهاجم من معالجتها كأوامر إعداد، وتحديث إعدادات Apache لحجب الوصول غير المصادق إلى نقطة النهاية المتأثرة.

إعلان

من الإفصاح إلى الاستغلال النشط في 40 ساعة

انتقلت الثغرة من تصحيح المورّد إلى الاستغلال الفعلي الميداني بسرعة لافتة. نشرت شركة أبحاث الأمن watchTowr تحليلاً تقنياً مفصّلاً وثغرة إثبات مفهوم في 10 يونيو 2026 — في اليوم ذاته الذي أصدرت فيه Ivanti إشعارها. أظهرت أبحاثهم أن حقن سلسلة مُصنَّعة في المعامل message لنقطة النهاية handleMessage غير المصادقة يُسبّب قيام معالج الأوامر الخلفي بتفسير الحمولة كأمر إعداد MICS أصيل وتنفيذه بكامل صلاحيات الجذر.

في غضون 40 ساعة تقريباً من نشر إثبات المفهوم، كان المهاجمون يزرعون أبواباً خلفية في النقاط المكشوفة. أبلغت مؤسسة Shadowserver، التي تفحص باستمرار البنية التحتية المكشوفة على الإنترنت بحثاً عن إشارات الثغرات، عن رصدها “عدداً كبيراً” من محاولات استغلال CVE-2026-10520. والأشد خطورةً أن فحصها كشف أن اثنتين على الأقل من 19 نقطة Sentry مكشوفة وضعيفة قد جرى زرع أبواب خلفية فيها بنجاح — بمعدل تحوّل يتجاوز 10% في أقل من يومين من توفّر استغلال علني.

استجابت CISA في 11 يونيو 2026 — بعد يوم واحد فقط من الإفصاح — بإضافة CVE-2026-10520 إلى فهرس الثغرات المستغَلة المعروفة (KEV). بموجب التوجيه التشغيلي الملزم (BOD) 22-01، أُمِرت جميع الوكالات الفيدرالية المدنية (FCEB) بالمعالجة بحلول 14 يونيو 2026 — وهي نافذة لا تتعدى ثلاثة أيام من إدراج الثغرة في الفهرس. في الوقت ذاته، حثّت CISA منظمات القطاع الخاص على التعامل مع الإشعار باعتباره إشارة معالجة ذات أولوية عالية، وإن كان المهلة الثلاثية ملزمة قانونياً للوكالات الفيدرالية فحسب.

ما يجب على فرق الأمن فعله

سرعة تسليح الثغرة ونافذة التصحيح القصيرة بشكل غير معتاد التي فرضتها CISA لا تتيحان مجالاً لاستجابة مدروسة ومجدوَلة. فيما يلي الخطوات ذات الأولوية التي يجب على فرق الأمن تنفيذها فوراً.

1. تحديد كل نقطة Sentry مكشوفة على الإنترنت وعزلها

الإجراء الأول هو جرد شامل لنشرات Ivanti Sentry في بيئتك. يجب التعامل مع أي نقطة مكشوفة على الإنترنت — أو يمكن الوصول إليها من شريحة شبكة غير موثوقة — باعتبارها مُختَرَقة محتملاً حتى يتم تصحيحها والتحقق منها جنائياً.

قم بفحص داخلي لتطبيق ويب إعداد MICS المُستمِع على منفذ الإدارة الافتراضي (عادةً TCP 8443 أو 443). تحقق مما إذا كانت /mics/api/v2/sentry/mics-config/handleMessage تستجيب لطلبات POST غير مصادقة. إذا كان الأمر كذلك، فالنقطة غير مُصحَّحة وعُرضة للخطر. لا تؤخر هذه الخطوة انتظاراً لنافذة صيانة — الاستغلال قابل للتكرار بسهولة من إثبات المفهوم العلني، وعادةً ما تمتلك منتجات البوابات قواعد وصول داخلي مباشرة تتجاوز جدران الحماية المحيطية.

علاوةً على ذلك، راجع أي مزوّدي خدمات مُدارة أو موردين خارجيين قد يشغّلون بوابات Sentry نيابةً عنك. أصبحت الاختراقات عبر مزوّدي الخدمات الأمنية المُدارة ناقلاً رئيسياً للوصول الأولي في اختراقات المؤسسات خلال الأربعة والعشرين شهراً الماضية.

2. تطبيق تصحيحات المورّد فوراً — والتحقق من النتيجة

قم بترقية جميع النشرات المتأثرة إلى الإصدارات المُصحَّحة: 10.7.1 أو 10.6.2 أو 10.5.2 بحسب فرعك الإصداري. يُدخل تصحيح Ivanti تغييرَين مستقلَّين: يُعقِّم معامل message لمنع حقن الأوامر، ويُحدِّث إعداد Apache Tomcat لاشتراط المصادقة على نقطة النهاية التي كانت مفتوحة.

بعد التصحيح، لا تفترض أن الإصلاح كافٍ دون التحقق. شغّل نص الكشف المتاح علناً من watchTowr على نقاطك المُحدَّثة للتأكد من أن نقطة النهاية handleMessage لم تعد تستجيب للطلبات غير المصادقة وأن ناقل الحقن قد أُغلق. التصحيح دون التحقق اللاحق كان نمط فشل موثَّقاً في استجابات سابقة لثغرات Ivanti — إذ تسبّبت في بعض البيئات المؤسسية إعداداتٌ جزئية في فشل التصحيحات بصمت.

تحقق أيضاً من أن CVE-2026-10523 (تجاوز المصادقة CVSS 9.9) تعالجه التصحيحة ذاتها، إذ يشترك كلا CVE في المسار العلاجي نفسه. النشر المُصحَّح لثغرة التنفيذ عن بُعد (RCE) لكنه لا يزال عُرضةً لتجاوز المصادقة يمثّل سطح هجوم منتقَصاً لكنه لا يزال خطيراً.

3. البحث عن مؤشرات الاختراق قبل الثقة بالأنظمة المُصحَّحة

نظراً لأن الاستغلال بدأ في غضون 40 ساعة من نشر إثبات المفهوم، يجب التعامل مع أي نقطة كانت مكشوفة على الإنترنت خلال نافذة 10-12 يونيو باعتبارها أولوية جنائية — بصرف النظر عن وجود دليل مباشر على الاختراق. يعمل استغلال CVE-2026-10520 الناجح بصلاحيات الجذر، ما يعني أن المهاجم ربما نصب باباً خلفياً مستمراً أو غلاف ويب أو عدَّل ثنائيات النظام التي تنجو من ترقية برمجية بسيطة.

راجع سجلات وصول Apache Tomcat بحثاً عن طلبات POST إلى /mics/api/v2/sentry/mics-config/handleMessage من عناوين IP خارجية، لا سيما بين 10 و14 يونيو. تحقق من الحسابات الإدارية المُنشأة حديثاً (علامة على استغلال CVE-2026-10523) وراجع /etc/passwd و/etc/shadow ومفاتيح SSH المُخوَّلة بحثاً عن إدخالات غير متوقعة. افحص الملفات التي أُفرِغت حديثاً في مجلدات تطبيقات الويب، ومهام cron المُضافة بعد 10 يونيو، والاتصالات الشبكية الصادرة غير المعتادة من مضيف Sentry. إذا رصدت أي مؤشرات اختراق، فعزل الجهاز عن الشبكة وابدأ عملية استجابة كاملة للحوادث بدلاً من تطبيق التصحيح فحسب والمضي قُدُماً.

النمط الأشمل: ديون الأمان في أجهزة الحافة لدى Ivanti

CVE-2026-10520 ليست حادثة معزولة لـ Ivanti. في وقت سابق من عام 2026، استُغِل منتج Endpoint Manager Mobile (EPMM) الخاص بالشركة في هجمات حرجة من نوع zero-day أفضت إلى اختراق سلطات حماية البيانات الهولندية. تغطية The Register لإشعار Sentry الصادر في 10 يونيو أشارت إلى أن هذا الإفصاح يندرج في نمط متكرر من الثغرات الحرجة عبر منتجات Ivanti، مُصنِّفةً الشركة ضمن موردي برمجيات المؤسسات الأكثر استهدافاً بشكل متواصل لاستغلال أجهزة الحافة.

يعكس هذا النمط مشكلة هيكلية تتجاوز بكثير أي مورّد منفرد. أجهزة الحافة المؤسسية — بوابات VPN، وبروكسيات MDM، وبوابات أمان البريد الإلكتروني — تُنشَر على المحيط المكشوف للإنترنت، وكثيراً ما تعمل بأنظمة تشغيل وتطبيقات ويب خاصة تحظى بتدقيق أمني أقل صرامة من طرف ثالث مقارنةً ببرمجيات المؤسسات السائدة. وهي ذات قيمة للمهاجمين تحديداً بسبب موضعها الشبكي المتميز: يمكن للجهاز الحافي المُختَرق أن يعترض حركة المرور أو يُعيد توجيهها أو يُحوّلها بصمت دون أن يُنشط أدوات الكشف على نقاط النهاية العاملة على محطات العمل أو الخوادم الأعمق داخل الشبكة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

س: هل تستلزم CVE-2026-10520 وصولاً مسبقاً أو بيانات اعتماد للاستغلال؟

لا. الثغرة سابقة للمصادقة (pre-authentication): لا يحتاج المهاجم إلى أكثر من الوصول الشبكي إلى واجهة إدارة Sentry لتحقيق تنفيذ أوامر عن بُعد بصلاحيات الجذر. هذا ما يمنحها الدرجة القصوى في CVSS وهي 10.0. كانت نقطة النهاية /mics/api/v2/sentry/mics-config/handleMessage تقبل طلبات POST غير مصادقة من أي مصدر بما في ذلك الإنترنت العام.

س: ما الفرق بين CVE-2026-10520 وCVE-2026-10523؟

CVE-2026-10520 (CVSS 10.0) هي ثغرة حقن أوامر نظام التشغيل التي تمنح المهاجم تنفيذ أوامر مباشراً بصلاحيات الجذر. CVE-2026-10523 (CVSS 9.9) هي ثغرة تجاوز مصادقة تتيح إنشاء حسابات إدارية جديدة. تؤثران على إصدارات Sentry ذاتها وتشتركان في مسار التصحيح نفسه. رغم أن CVE-2026-10520 وحدها كافية للاختراق الكامل، يمكن توحيد الثغرتَين: قد يستخدم المهاجم CVE-2026-10523 لإنشاء حساب إداري مستمر ثم يستخدم CVE-2026-10520 لنشر باب خلفي يصمد أمام إعادة تعيين كلمة مرور المدير.

س: إذا تعذّر التصحيح الفوري، هل ثمة حل مؤقت؟

نعم، كإجراء مؤقت فحسب. قيّد الوصول الشبكي إلى واجهة إعداد MICS الخاصة بـ Sentry — التي تعمل عادةً على منفذ TCP 8443 — بحيث لا تكون متاحة إلا من شبكات الإدارة الداخلية الموثوقة، لا من الإنترنت أو الشرائح غير الموثوقة. يوصي إشعار Ivanti بهذا الأسلوب إجراءً لتخفيف المخاطر للمنظمات العاجزة عن التصحيح الفوري. غير أن هذا تخفيف وليس إصلاحاً: يُقلّص سطح الهجوم دون إزالة الثغرة. صحّح في أقرب وقت ممكن وأجرِ مراجعة جنائية لأي نقطة كانت مكشوفة على الإنترنت بين 10 يونيو والوقت الذي تُطبّق فيه القيود.

المصادر والقراءات الإضافية