Компания Ivanti сообщила об обнаружении и выпуске исправлений для двух критических уязвимостей нулевого дня в системе Endpoint Manager Mobile (EPMM). Обе бреши в безопасности уже активно эксплуатируются в реальных условиях, что требует немедленного внимания со стороны администраторов систем. В ответ на угрозу вендор выпустил обновления безопасности в формате RPM-патчей, призванных закрыть дыры в защите. Агентство по кибербезопасности и защите инфраструктуры США (CISA) отреагировало на инцидент, добавив одну из уязвимостей в свой каталог известных эксплуатируемых уязвимостей (KEV).
Раскрытые проблемы безопасности представляют собой уязвимости удаленного выполнения кода (RCE) с критическим уровнем серьезности. Первая из них, зарегистрированная как CVE-2026-1281, получила оценку 9.8 балла по шкале CVSS и классифицируется как уязвимость внедрения кода. Она позволяет злоумышленникам выполнять удаленный код без необходимости аутентификации. Вторая уязвимость, CVE-2026-1340, имеет оценку 9.5 балла по CVSS и способствует активной эксплуатации, аналогичной первому случаю.
Угроза затрагивает конкретные функциональные компоненты системы EPMM. В частности, под ударом находятся функции распространения внутренних приложений (In-House Application Distribution) и конфигурации передачи файлов для Android (Android File Transfer Configuration). Именно через эти векторы атакующие могут получить несанкционированный доступ к системе.
Список версий Ivanti EPMM, подверженных риску, включает сборки 12.5.0.0, 12.6.0.0, 12.7.0.0, 12.5.1.0, 12.6.1.0 и более ранние версии. При этом компания уточнила, что данные проблемы не затрагивают другие продукты, такие как Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) и Ivanti Sentry. Эти решения остаются безопасными в контексте текущего инцидента.
Для устранения угрозы были выпущены срочные RPM-патчи, охватывающие версии веток 12.x.0.x и 12.x.1.x. Однако администраторам следует учитывать критически важное предупреждение: установленный RPM-патч не сохраняется после обновления версии системы. Если устройство будет обновлено, исправление необходимо применить повторно. Постоянное решение проблемы будет включено только в версию EPMM 12.8.0.0, выход которой запланирован на первый квартал 2026 года.
Согласно данным Ivanti, на момент раскрытия информации атакам подверглось «очень ограниченное число клиентов». Конкретная группировка хакеров, стоящая за атаками, не названа, так как имеющейся информации недостаточно для предоставления надежных атомарных индикаторов. Тем не менее, известны тактики злоумышленников: для обеспечения персистентности (закрепления в системе) они развертывают веб-шеллы и обратные шеллы (reverse shells).
Последствия успешной эксплуатации уязвимостей могут быть катастрофическими для организации. Атакующие получают возможность произвольного выполнения кода на устройстве, могут осуществлять боковое перемещение (lateral movement) в подключенную среду, а также получают доступ к конфиденциальной информации об управляемых устройствах.
Для выявления компрометации администраторам рекомендуется провести тщательный анализ логов доступа Apache, расположенных по пути
Для автоматизированного поиска следов атаки специалисты по безопасности должны использовать специальное регулярное выражение для проверки логов. Наличие совпадений по следующему шаблону свидетельствует о попытках взлома:
Изображение носит иллюстративный характер
Раскрытые проблемы безопасности представляют собой уязвимости удаленного выполнения кода (RCE) с критическим уровнем серьезности. Первая из них, зарегистрированная как CVE-2026-1281, получила оценку 9.8 балла по шкале CVSS и классифицируется как уязвимость внедрения кода. Она позволяет злоумышленникам выполнять удаленный код без необходимости аутентификации. Вторая уязвимость, CVE-2026-1340, имеет оценку 9.5 балла по CVSS и способствует активной эксплуатации, аналогичной первому случаю.
Угроза затрагивает конкретные функциональные компоненты системы EPMM. В частности, под ударом находятся функции распространения внутренних приложений (In-House Application Distribution) и конфигурации передачи файлов для Android (Android File Transfer Configuration). Именно через эти векторы атакующие могут получить несанкционированный доступ к системе.
Список версий Ivanti EPMM, подверженных риску, включает сборки 12.5.0.0, 12.6.0.0, 12.7.0.0, 12.5.1.0, 12.6.1.0 и более ранние версии. При этом компания уточнила, что данные проблемы не затрагивают другие продукты, такие как Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) и Ivanti Sentry. Эти решения остаются безопасными в контексте текущего инцидента.
Для устранения угрозы были выпущены срочные RPM-патчи, охватывающие версии веток 12.x.0.x и 12.x.1.x. Однако администраторам следует учитывать критически важное предупреждение: установленный RPM-патч не сохраняется после обновления версии системы. Если устройство будет обновлено, исправление необходимо применить повторно. Постоянное решение проблемы будет включено только в версию EPMM 12.8.0.0, выход которой запланирован на первый квартал 2026 года.
Согласно данным Ivanti, на момент раскрытия информации атакам подверглось «очень ограниченное число клиентов». Конкретная группировка хакеров, стоящая за атаками, не названа, так как имеющейся информации недостаточно для предоставления надежных атомарных индикаторов. Тем не менее, известны тактики злоумышленников: для обеспечения персистентности (закрепления в системе) они развертывают веб-шеллы и обратные шеллы (reverse shells).
Последствия успешной эксплуатации уязвимостей могут быть катастрофическими для организации. Атакующие получают возможность произвольного выполнения кода на устройстве, могут осуществлять боковое перемещение (lateral movement) в подключенную среду, а также получают доступ к конфиденциальной информации об управляемых устройствах.
Для выявления компрометации администраторам рекомендуется провести тщательный анализ логов доступа Apache, расположенных по пути
/var/log/httpd/https-access_log. В этих логах индикатором легитимного использования является HTTP-ответ «200 OK», тогда как код ответа «404 Not Found» в контексте специфических запросов указывает на успешную или предпринятую попытку эксплуатации. Для автоматизированного поиска следов атаки специалисты по безопасности должны использовать специальное регулярное выражение для проверки логов. Наличие совпадений по следующему шаблону свидетельствует о попытках взлома:
^(?!127\.0\.0\.1:\d+.$).?\/mifs\/c\/(aft|app)store\/fob\/.?404
