Злоумышленники активно используют две критические уязвимости нулевого дня в Ivanti Endpoint Manager Mobile (EPMM) для получения несанкционированного контроля над инфраструктурой управления мобильными устройствами предприятий и установки бэкдоров, спроектированных для сохранения активности даже после установки доступных исправлений. «Две критические уязвимости нулевого дня (CVE-2026-1281 и CVE-2026-1340) затрагивающие Ivanti Endpoint Manager Mobile (EPMM) активно эксплуатируются в реальных условиях, нанося […] — csoonline.com
Злоумышленники активно используют две критические уязвимости нулевого дня в решении Ivanti Endpoint Manager Mobile (EPMM) для получения несанкционированного контроля над инфраструктурой управления мобильными устройствами предприятий и установки бэкдоров, спроектированных для сохранения активности даже после установки доступных исправлений.
«Две критические уязвимости нулевого дня (CVE-2026-1281 и CVE-2026-1340), затрагивающие Ivanti Endpoint Manager Mobile (EPMM), активно эксплуатируются в реальных условиях, нанося ущерб корпоративным паркам мобильных устройств и сетям», — говорится в консультативном уведомлении исследовательской группы Unit 42 компании Palo Alto Networks. «Эти уязвимости позволяют злоумышленникам без аутентификации удаленно выполнять произвольный код на целевых серверах, предоставляя им полный контроль над инфраструктурой управления мобильными устройствами (MDM) без необходимости взаимодействия с пользователем или учетных данных».
EPMM, ранее известная как MobileIron Core, представляет собой платформу управления мобильными устройствами, которую предприятия используют для администрирования и обеспечения соблюдения политик безопасности на смартфонах и планшетах сотрудников.
Платформа управления поверхностью атаки Cortex Xpanse от Palo Alto Networks обнаружила более 4400 экземпляров EPMM, в настоящее время доступных в публичном интернете. Компрометация платформы дает злоумышленникам доступ к политикам устройств, учетным данным и метаданным всего парка мобильных устройств организации, предупреждает Unit 42 в своем уведомлении.
Обе уязвимости имеют оценку CVSS 9.8 и позволяют злоумышленникам без аутентификации выполнять произвольные команды на скомпрометированных серверах EPMM без какого-либо взаимодействия с пользователем или действительных учетных данных.
Компания Ivanti признала факты атак, выпустив экстренные исправления в конце января, но первоначальный ущерб оценила как ограниченный. «На момент раскрытия информации нам известно о крайне ограниченном числе клиентов, чье решение было скомпрометировано», — заявила компания в своем консультативном уведомлении о безопасности.
По данным Unit 42, обе уязвимости связаны с небезопасной обработкой скриптов Bash в устаревших конфигурациях веб-сервера Apache. CVE-2026-1281 нацелена на функцию In-House Application Distribution; CVE-2026-1340 использует тот же класс уязвимостей через отдельный скрипт, обрабатывающий механизм передачи файлов Android. «Хотя первопричина одна и та же, они находятся в двух разных скриптах, обрабатывающих разные функции», — поясняется в уведомлении.
От сканирования к бэкдору
Unit 42 задокументировала быстрое продвижение злоумышленников от автоматизированного сканирования к первичному доступу, а затем к быстрой эскалации с целью развертывания постоянных бэкдоров, предназначенных для сохранения активности дольше циклов установки исправлений.
Получив первоначальный доступ, злоумышленники немедленно пытались загрузить и выполнить полезную нагрузку второго этапа. «Этот второй этап обычно устанавливает веб-шелл, майнер криптовалюты или постоянный бэкдор для предоставления злоумышленнику контроля над устройством», — говорится в уведомлении.
Unit 42 также сообщила, что злоумышленники развернули агент мониторинга с открытым исходным кодом Nezha для сохранения видимости скомпрометированных систем.
Злоумышленники нацеливались на секторы, включая государственные и местные органы власти, здравоохранение, производство, профессиональные услуги и высокие технологии в США, Германии, Австралии и Канаде, добавляется в уведомлении.
Unit 42 также предупредила, что код эксплойта с доказательством концепции (Proof-of-Concept) для обеих CVE уже общедоступен, что делает более широкую эксплуатацию вероятной по мере того, как все больше угроз-акторов будут использовать рабочие эксплойты.
Установите патч, но сначала проверьте
Unit 42 направила организации к консультативному уведомлению Ivanti по вопросам безопасности для получения рекомендаций по устранению, которое предписывает установку RPM-патчей для конкретных версий ветвей EPMM 12.x, не требующих простоя оборудования. Однако Ivanti предупредила, что исправление не сохраняется при обновлении версии и должно быть переустановлено, если программное обеспечение обновляется. «Постоянное исправление этой уязвимости будет включено в следующий релиз продукта: 12.8.0.0, ожидаемый в первом квартале 2026 года».
Ivanti также предупредила в своем уведомлении, что, хотя их шлюз мобильного трафика Sentry не уязвим напрямую, EPMM обладает правами на выполнение команд в подключенных системах Sentry. «Если развертывание EPMM было скомпрометировано, злоумышленники могли скомпрометировать и Ivanti Sentry», — предупредила Ivanti.
Организациям, подозревающим компрометацию, в уведомлении Ivanti было рекомендовано не пытаться очищать затронутые системы. Вместо этого было предложено восстановление из известной хорошей резервной копии или полная пересборка с последующей полной сменой всех паролей учетных записей, учетных данных служб и общедоступных сертификатов. Поскольку код эксплойта с доказательством концепции для обеих CVE уже общедоступен, ожидается более широкая эксплуатация по мере того, как все больше угроз-акторов будут использовать рабочие эксплойты.
Знакомый паттерн
Атаки на EPMM следуют паттерну, который будет знаком клиентам Ivanti. Продукт уже эксплуатировался в больших масштабах: в 2023 году спонсируемые государством злоумышленники использовали уязвимости нулевого дня в EPMM для проникновения в сети правительства Норвегии, а в прошлом году в реальных условиях снова были использованы отдельные уязвимости.
Продукт Ivanti Connect Secure VPN имеет схожую проблемную историю: китайские APT-группы эксплуатировали уязвимости нулевого дня в последовательных кампаниях, что в конечном итоге привело к тому, что правительство США в феврале 2024 года предписало федеральным агентствам полностью отключить продукты Ivanti VPN.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain