אנשי מקצוע בתחום האבטחה ומנהלי מערכות נמצאים בכוננות גבוהה, מכיוון ש-Microsoft, Fortinet ו-Ivanti פרסמו כל אחת מהן הודעות אבטחה קריטיות בנוגע לפגיעויות אפס-יום המנוצלות באופן פעיל המשפיעות על המוצרים שלהן. פגיעויות אלה מהוות סיכון משמעותי לארגונים, ועלולות להוביל לגישה לא מורשית, פרצות מידע ופשרה של המערכת. מומלץ מאוד לתקן מיד וליישם פתרונות מומלצים כדי לצמצם איומים פוטנציאליים.
תיקוני Microsoft מטפלים בפגיעויות מנוצלות וגילויות בפומבי
הגרסה האחרונה של Patch Tuesday של Microsoft כללה תיקונים למספר מדאיג של פגיעויות, כולל חמש שכבר מנוצלות באופן פעיל בטבע, יחד עם שתי פגיעויות אפס-יום שפורסמו בפומבי. הפגמים שמנוצלים באופן פעיל מייצגים איום רציני, מכיוון ששחקנים זדוניים ממנפים אותם באופן פעיל כדי לפגוע במערכות.
פגיעויות מנוצלות באופן פעיל בפירוט
הפגיעויות הבאות זוהו כמנוצלות באופן פעיל:
- Microsoft DWM Core Library (CVE-2025-30400): פגיעות זו בספריית ליבת Desktop Window Manager (DWM) עלולה לאפשר לתוקף להעלות את הרשאותיו לרמת SYSTEM. המשמעות היא שתוקף יכול להשיג שליטה מלאה על המערכת הפגועה.
- Windows Common Log File System (CVE-2025-32701 ו-CVE-2025-32706): שתי פגיעויות נפרדות בתוך Windows Common Log File System (CLFS) יכולות גם הן לאפשר לתוקף להשיג הרשאות ברמת SYSTEM. ה-CLFS הוא שירות רישום כללי המשמש רכיבים שונים של Windows.
- Windows Ancillary Function Driver (CVE-2025-32709): פגיעות במנהל התקן הפונקציה העזר של Windows עלולה להוביל באופן דומה להעלאת הרשאות לרמת SYSTEM.
- Microsoft Scripting Engine (CVE-2025-30397): קיימת פגיעות של השחתת זיכרון במנוע הסקריפט של Microsoft שיכולה לאפשר לתוקף להפעיל קוד שרירותי. זה יכול לאפשר לתוקף להפעיל תוכנה זדונית במערכת הפגועה.
פגיעויות שפורסמו בפומבי
בנוסף לפגיעויות המנוצלות באופן פעיל, Microsoft טיפלה גם בשתי פגיעויות אפס-יום שפורסמו בפומבי:
- Microsoft Defender (CVE-2025-26685): קיימת פגיעות של התחזות זהות ב-Microsoft Defender שיכולה לאפשר לתוקף להתחזות לחשבון אחר ברשת סמוכה.
- Visual Studio (CVE-2025-32702): פגיעות של ביצוע קוד מרחוק ב-Visual Studio עלולה לאפשר לתוקף לא מאומת להפעיל קוד באופן מקומי.
פגיעויות קריטיות הדורשות תעדוף
מעבר לפגמים המנוצלים באופן פעיל ושפורסמו בפומבי, Microsoft פרסמה גם טלאים לשש פגיעויות קריטיות, שלמרות שכרגע לא ידוע שהן מנוצלות, יש לתעדף לתיקון. פגיעויות אלה משפיעות על מוצרי Microsoft שונים כולל:
- Microsoft Office (CVE-2025-30377 ו-CVE-2025-30386): שתי פגיעויות קריטיות זוהו ב-Microsoft Office, העלולות לאפשר ביצוע קוד מרחוק.
- Microsoft Power Apps (CVE-2025-47733): פגיעות קריטית התגלתה ב-Microsoft Power Apps שעלולה להוביל לגישה לא מורשית או לביצוע קוד.
- Remote Desktop Gateway Service (CVE-2025-29967): קיימת פגיעות קריטית בשירות Remote Desktop Gateway שיכולה לאפשר לתוקף לפגוע במערכת.
- Windows Remote Desktop (CVE-2025-29966): נמצאה פגיעות קריטית ב-Windows Remote Desktop, העלולה להוביל לביצוע קוד מרחוק.
Fortinet מטפלת בפגיעות קריטית על פני מספר מוצרים
Fortinet פרסמה הודעת אבטחה בנוגע לפגיעות קריטית המשפיעה על מספר מוצרים שלה, כולל FortiVoice, FortiMail, FortiNDR, FortiRecorder ו-FortiCamera.
פגיעות זו, גלישת חוצץ מבוססת מחסנית, קיבלה ציון חומרה CVSS v4 של 9.6 (CVSS v3.1: 9.8), המצביע על חומרתה הגבוהה. ניתן לנצל את הפגיעות מרחוק על ידי תוקף לא מאומת על ידי שליחת בקשות HTTP המכילות עוגיית hash מעוצבת במיוחד. ניצול מוצלח עלול להוביל לביצוע קוד שרירותי, ולאפשר לתוקף להשתלט באופן מלא על המכשיר הפגוע.
ניצול שנצפה ב-FortiVoice
Fortinet אישרה כי היא צפתה בניצול פעיל של פגיעות זו במכשירי FortiVoice. תוקפים סורקים רשתות מכשירים, מוחקים יומני קריסת מערכת ומאפשרים איתור באגים ב-fcgi כדי ללכוד אישורים שהוזנו במהלך ניסיונות כניסה למערכת או SSH.
מוצרים וגרסאות מושפעים
הפגיעות, שאותרה כ-CVE-2025-32756, משפיעה על גרסאות המוצר הבאות. מומלץ מאוד לבצע שדרוגים מיידיים לגרסאות הקבועות המפורטות:
- FortiVoice:
- 7.2.0: שדרג ל-7.2.1 ומעלה
- 7.0.0 עד 7.0.6: שדרג ל-7.0.7 ומעלה
- 6.4.0 עד 6.4.10: שדרג ל-6.4.11 ומעלה
- FortiRecorder:
- 7.2.0 עד 7.2.3: שדרג ל-7.2.4 ומעלה
- 7.0.0 עד 7.0.5: שדרג ל-7.0.6 ומעלה
- 6.4.0 עד 6.4.5: שדרג ל-6.4.6 ומעלה
- FortiMail:
- 7.6.0 עד 7.6.2: שדרג ל-7.6.3 ומעלה
- 7.4.0 עד 7.4.4: שדרג ל-7.4.5 ומעלה
- 7.2.0 עד 7.2.7: שדרג ל-7.2.8 ומעלה
- 7.0.0 עד 7.0.8: שדרג ל-7.0.9 ומעלה
- FortiNDR:
- 7.6.0: שדרג ל-7.6.1 ומעלה
- 7.4.0 עד 7.4.7: שדרג ל-7.4.8 ומעלה
- 7.2.0 עד 7.2.4: שדרג ל-7.2.5 ומעלה
- 7.1: העבר לגרסה קבועה
- 7.0.0 עד 7.0.6: שדרג ל-7.0.7 ומעלה
- 1.1 עד 1.5: העבר לגרסה קבועה
- FortiCamera:
- 2.1.0 עד 2.1.3: שדרג ל-2.1.4 ומעלה
- 2.0: העבר לגרסה קבועה
- 1.1: העבר לגרסה קבועה
אינדיקטורים לפשרה ושלבי הפחתה
Fortinet סיפקה אינדיקטורים לפשרה (IOCs) בהתראת האבטחה שלה כדי לעזור לארגונים לזהות ניסיונות ניצול פוטנציאליים. אם תיקון מיידי אינו אפשרי, Fortinet ממליצה להשבית זמנית את ממשק הניהול HTTP/HTTPS כאמצעי הפחתה.
Ivanti מטפלת בפגיעויות של ביצוע קוד מרחוק ב-Endpoint Manager Mobile
Ivanti פרסמה הודעת אבטחה המטפלת בשתי פגיעויות המשפיעות על פתרון Endpoint Manager Mobile (EPMM) שלה. פגיעויות אלה, כאשר הן משולבות זו בזו, עלולות להוביל לביצוע קוד מרחוק לא מאומת. Ivanti הצהירה שהפגיעויות קשורות לקוד קוד פתוח המשמש ב-EPMM, ולא לקוד הליבה של Ivanti.
פרטי פגיעות
- CVE-2025-4427 (חומרה בינונית): זהו פגם בעקיפת אימות עם ציון חומרה CVSS v3.1 של 5.3. תוקף יכול לנצל זאת כדי לעקוף מנגנוני אימות ולקבל גישה לא מורשית למערכת.
- פגיעות של ביצוע קוד מרחוק (חומרה גבוהה): פגיעות זו כוללת ציון חומרה CVSS v3.1 של 7.2, המצביע על השפעה פוטנציאלית גבוהה. על ידי ניצול פגם זה, תוקף יכול להפעיל קוד שרירותי במערכת הפגועה מרחוק.
מוצרים וגרסאות מושפעים
הגרסאות הבאות של Ivanti Endpoint Mobile Manager מושפעות מפגיעויות אלה. שדרג לגרסאות העדכניות ביותר בהקדם האפשרי:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 ומעלה: שדרג ל-11.12.0.5 ומאוחר יותר
- 12.3.0.1 ומעלה: שדרג ל-12.3.0.2 ומאוחר יותר
- 12.4.0.1 ומעלה: שדרג ל-12.4.0.2 ומאוחר יותר
- 12.5.0.0 ומעלה: שדרג ל-12.5.0.1 ומאוחר יותר
אסטרטגיות הפחתה
Ivanti ממליצה בחום למשתמשים לשדרג לגרסה העדכנית ביותר של EPMM בהקדם האפשרי. עם זאת, ניתן להפחית את הסיכון באופן משמעותי על ידי סינון גישה לממשק ה-API באמצעות ה-Portal ACLs המובנה או חומת אש יישומי אינטרנט חיצונית (WAF). אמצעים אלה יכולים לסייע במניעת גישה לא מורשית וניצול של הפגיעויות.
לסיכום, הודעות האבטחה האחרונות מ-Microsoft, Fortinet ו-Ivanti מדגישות את הצורך המתמיד בזהירות ובאמצעי אבטחה יזומים. ארגונים חייבים לתעדף תיקונים ויישום פתרונות מומלצים כדי להגן על עצמם מפני פגיעויות אלה המנוצלות באופן פעיל ומפני התקפות עתידיות פוטנציאליות. ניטור קבוע של הודעות אבטחה וטיפול מיידי בסיכונים מזוהים הם מרכיבים חיוניים של עמדת אבטחה חזקה. ההשלכות הפוטנציאליות של אי טיפול בפגיעויות אלה עלולות להיות חמורות, החל מפרצות מידע ואובדנים כספיים ועד לנזק למוניטין ושיבוש עסקי. שיתוף הפעולה בין ספקים לקהילת האבטחה הוא בעל חשיבות עליונה בזיהוי והפחתת איומים אלה, והבטחת סביבה דיגיטלית בטוחה ומאובטחת יותר לכולם.