Критические уязвимости нулевого дня в Ivanti EPMM уже эксплуатируются. Эксперты предупреждают: если система в интернете — считайте её скомпрометированной. Требуется срочное восстановление и замена инфраструктуры.
Компания Ivanti выпустила экстренные исправления для двух критических уязвимостей нулевого дня в своём продукте Endpoint Manager Mobile (EPMM), которые уже активно эксплуатируются. Это продолжает череду масштабных инцидентов в сфере безопасности корпоративных IT-решений в начале 2026 года.
В январе 2025 года десятки тысяч организаций были вынуждены обновлять системы из-за уязвимости в решениях Fortinet, а клиенты Ivanti тогда тоже сталкивались с аналогичной проблемой. В этом году ситуация не изменилась: Fortinet устранил несколько уязвимостей в механизме единого входа (SSO), а Ivanti выпустил очередные патчи для двух новых уязвимостей нулевого дня.
Уязвимости, получившие обозначения CVE-2026-1281 и CVE-2026-1340, затрагивают Ivanti Endpoint Manager Mobile (EPMM). Обе оценены по шкале CVSS на 9,8 балла из 10 и позволяют выполнить удалённый код без аутентификации (RCE) — это одна из самых опасных категорий уязвимостей.
В своём предупреждении компания сообщила: «Нам известно о крайне ограниченном числе клиентов, чьи системы были скомпрометированы на момент раскрытия уязвимостей».
«Эта уязвимость не затрагивает другие продукты Ivanti, включая облачные решения, такие как Ivanti Neurons for MDM. Ivanti Endpoint Manager (EPM) — это отдельный продукт и не подвержен данным уязвимостям. Клиенты, использующие облачные продукты Ivanti с Sentry, также не затронуты».
Такие уязвимости типа RCE могут привести к серьёзным последствиям: перемещению атакующих по сети, изменению конфигураций и получению ими прав администратора. Вендор предупредил, что злоумышленники также могут получить доступ к определённым данным.
По словам Ivanti, под угрозу могут попасть персональные данные администраторов EPMM и пользователей устройств, а также информация о мобильных устройствах — включая номера телефонов и GPS-координаты.
Тем, кто ищет индикаторы компрометации (IOC), повезло меньше: из-за небольшого числа известных инцидентов Ivanti не может предоставить надёжных сигнатур.
Однако компания опубликовала страницу с техническим анализом, содержащую рекомендации по выявлению возможных атак.
Охотникам за угрозами стоит начать с логов Apache, особенно с функций In-House Application Distribution и Android File Transfer Configuration. Легитимный трафик возвращает HTTP-код 200, тогда как попытки эксплуатации могут оставлять следы в виде кода 404.
«Рекомендуем внимательно проверять все GET-запросы с параметрами, содержащими bash-команды», — отметила Ivanti.
Это уже не первый случай, когда EPMM становится мишенью для RCE-уязвимостей. Предыдущие исследования показали, что злоумышленники часто используют два метода для сохранения доступа. Чаще всего — добавляют или изменяют веб-шеллы, в частности, атакуя страницы ошибок, такие как 401.jsp.
«Любые POST-запросы к этим страницам или запросы с параметрами следует считать крайне подозрительными», — предупредила компания.
Ivanti также рекомендует обращать внимание на появление неожиданных файлов WAR или JAR — это может указывать на размещение обратных соединений (reverse shell).
Кроме того, EPMM обычно не инициирует исходящие сетевые подключения, поэтому любые такие события в логах межсетевого экрана должны стать поводом для расследования.
Если признаки компрометации обнаружены, Ivanti советует не пытаться очистить систему, а восстановить её из резервной копии и обновиться до последней версии.
Альтернативно, если резервная копия недоступна, рекомендуется развернуть новое устройство EPMM и перенести на него данные.
Бенджамин Харрис, генеральный директор watchTowr, отметил, что «широкий круг» его клиентов с EPMM работает в высоконагруженных отраслях, и призвал всех действовать оперативно.
«Нам казалось, что январь прошёл слишком спокойно. Решение Ivanti EPMM, уже не раз бывавшее центром саг о уязвимостях нулевого дня, вновь подвергается эксплуатации в реальных условиях, на этот раз со стороны, похоже, хорошо оснащённых и квалифицированных злоумышленников».
«CVE-2026-1281 и CVE-2026-1340 — уязвимости с возможностью удалённого выполнения кода без аутентификации в Ivanti Endpoint Manager Mobile (EPMM) — представляют собой худшее из худшего. Злоумышленники уже внедряют бэкдоры и захватывают системы».
«Хотя патчи уже доступны, их установки может оказаться недостаточно. Поскольку уязвимости использовались как zero-day, организации, имеющие на момент публикации уязвимые экземпляры в интернете, должны считать себя скомпрометированными, немедленно отключать инфраструктуру и запускать процессы реагирования на инциденты», — заключил эксперт. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones