שידור חוזר? שוב נוצלו פגיעויות קריטיות ב-איבנטי

שנה חדשה – פגיעויות חדשות לאיבנטי (Ivanti). האקרים ניצלו במתקפות שלהם צמד פגיעויות במערכת Ivanti EPMM (ר"ת Endpoint Manager Mobile), המשמשת לניהול הניידים. 

החברה הודיעה בסוף השבוע כי הפגיעויות שנוצלו בהתקפות – "פגעו במספר מוגבל מאוד של לקוחות". אנליסטים לתחום הגנת הסייבר, לעומתם, הטילו ספק בכנות המשפט והזכירו כי "זו לא הפעם הראשונה שאנחנו שומעים על איבנטי בהקשר של הגנת סייבר וניצול פגיעויות".

איבנטי מסרה כי "ניתן לנצל את הפגיעויות לטובת הזרקת נוזקה וכך לאפשר השתלטות מרחוק בלא אימות". היא הוסיפה כי הפגיעויות המדוברות "יכולת להעניק גישה גם לחלק מהנתונים: מידע אישי בסיסי על מנהל ה-EPMM ומשתמשי המכשיר, וכן מידע על מכשירים ניידים כגון מספרי טלפון ומיקומי GPS".

זוג הפגיעויות הוא בדרגת חומרה קריטית של 9.8 מתוך 10.0. הן תועדו כ-CVE-2026-1281 ו-CVE-2026-1340.

הפגיעויות משפיעות על EPMM של איבנטי, אשר הוציאה עדכון הטלאה בסוף השבוע. "אין צורך בהשבתה של המערכות כדי להטמיע את התיקון הזה. איננו מודעים להשפעה על פונקציונליות של הרכיבים עם התיקון המסוים", אמרה החברה.

Spike in Ivanti EPMM CVE-2026-1281 RCE exploitation attempts seen by our sensors last 24 hours from at least 13 source IPs. In our scans, we see ~1600 exposed instances worldwide (no vulnerability assessment). Top exposed: Germany

Ivanti hotfix guidance: https://t.co/Eo9JlE30cs pic.twitter.com/LpaQWHPxyD

— The Shadowserver Foundation (@Shadowserver) January 31, 2026

"הפגיעויות – הגרועות שבגרועות"

CISA, הסוכנות לאבטחת הסייבר והתשתיות של ארה"ב, פרסמה הודעה המאשרת שלפחות אחת מהפגיעויות (CVE-2026-1281) נוצלה על ידי שחקני איום. "סוג זה של פגיעות הוא וקטור תקיפה המשמש באופן תכוף שחקני סייבר זדוניים ומהווה סיכונים משמעותיים לארגונים הפדרליים", כתבו חוקרי CISA והקציבו תאריך יעד לטיפול בהן עד היום (א'). אמנם הסוכנות אחראית להנחות רק סוכנויות פדרליות, אך CISA "קראה בחוזקה" לכל הארגונים שנפגעו לתת עדיפות לטיפול בפגיעויות מנוצלות.

מומחים ציינו כי למרות ניסיונות ההרגעה מצד איבנטי, הרי שהפגיעויות "עלולות להוביל לכל מיני מצבים רעים: תנועה רוחבית של ההאקרים ברשת הארגון, שינויים בתצורה, והחמור ביותר – תוקפים שהופכים את עצמם לאדמין".

🛡️ We added Ivanti Endpoint Manager Mobile (EPMM) code injection vulnerability CVE-2026-1281 to our Known Exploited Vulnerabilities Catalog. Visit https://t.co/myxOwap1Tf & apply mitigations to protect your org from cyberattacks. #Cybersecurity #InfoSec pic.twitter.com/KrNsuKD5gO

— CISA Cyber (@CISACyber) January 29, 2026

בנג'מין האריס, מנכ"ל watchTowr, אמר כי "מגוון רחב מלקוחות איבנטי המפעילים EPMM – באים מתעשיות בעלות ערך גבוה, לכן כלל הארגונים צריכים לפעול במהירות. ידענו שינואר נראה רגוע מדי. פתרון ה-EPMM של איבנטי, שהיווה את הבסיס לסאגות 'יום האפס' הקודמות, שוב זוכה לניצול פראי על ידי שחקני איום, שנראים מוכשרים וממוכנים היטב. הפגיעויות הללו מייצגות את הגרועות שבגרועות, כי הן מאפשרות לשחקני איום לפגוע באופן פעיל במערכות ולפרוס דלתות אחוריות. ההטלאות אינן מספיקות".

אחד האנליסטים סיכם: "איבנטי הופכת את ההאקרים הסינים לאוהדים שרופים ולמעריצים מסורים. המרגלים הסינים בסייבר פשוט לא יכולים להתאפק מלפעול (לתקוף בסייבר – י"ה) למול הבאגים שלה".