Критические уязвимости в Ivanti EPMM активно эксплуатируются для удалённого контроля над корпоративными мобильными устройствами

Суть угрозы и механизм эксплуатации

Обе уязвимости имеют схожий корень - небезопасное использование bash-скриптов в компонентах веб-сервера Apache, отвечающих за обработку URL. В случае CVE-2026-1281 проблема кроется в скрипте "/mi/bin/map-appstore-url", который обрабатывает запросы к функции внутреннего распространения приложений. Уязвимость CVE-2026-1340 затрагивает аналогичный скрипт "map-aft-store-url", связанный с механизмом передачи файлов на Android.

Техническая суть эксплуатации заключается в хитрой инъекции кода через арифметическое расширение bash. Злоумышленник отправляет специально сформированный HTTP GET-запрос к уязвимым эндпоинтам ("/mifs/c/appstore/fob/..." или "/mifs/c/aftstore/fob/..."). Манипулируя параметрами запроса, атакующий внедряет команды в переменные скрипта. В критический момент, когда скрипт пытается сравнить значения этих переменных, интерпретатор bash, разрешая арифметическое выражение, исполняет встроенную вредоносную команду. Этот механизм предоставляет злоумышленнику возможность выполнить на сервере произвольный код.

Картина атак и целевые секторы

Аналитики Unit 42 наблюдают разнообразную активность, следующую сразу за успешным взломом. Злоумышленники стремятся не только к моментальной выгоде, но и к долгосрочному закреплению в системе. Среди зафиксированных действий - установка обратных оболочек для удалённого управления, загрузка и запуск второстепенных полезных нагрузок, разведка внутренней среды, а также размещение веб-шеллов и скрытых бэкдоров. В некоторых случаях отмечались попытки загрузки агента мониторинга Nezha, что может указывать на интеграцию взломанных серверов в ботнет, или запуск криптомайнеров.

Атаки носят широкомасштабный характер и затрагивают различные страны, включая США, Германию, Австралию и Канаду. Под удар попали критически важные и экономически значимые сектора: государственные и местные органы власти, здравоохранение, производство, профессиональные и юридические услуги, а также высокотехнологичные компании. Серьёзность угрозы подтверждается тем, что Агентство по кибербезопасности и защите инфраструктуры США (CISA) уже внесло CVE-2026-1281 в свой каталог известных эксплуатируемых уязвимостей (KEV Catalog), что обязывает федеральные агентства срочно принять меры.

Окно для защиты стремительно закрывается

Текущая ситуация наглядно демонстрирует, как стремительно сократился временной промежуток между публикацией информации об уязвимости и её массовой эксплуатацией. Оппортунистические атакующие интегрируют новые векторы в автоматизированные сканирующие фреймворки буквально за часы. Это превращает непропатченные, доступные из интернета системы управления в активы высочайшего риска. Особую опасность представляют «спящие» бэкдоры, которые злоумышленники устанавливают для сохранения доступа даже после применения организацией заплаток. Поэтому простого исправления уязвимости может быть недостаточно - необходим тщательный поиск следов возможной компрометации.

Рекомендации по защите и реагированию

Главная и безотлагательная мера - применение обновлений безопасности, выпущенных Ivanti. В соответствии с рекомендациями производителя, необходимо установить RPM-пакеты версий 12.x.0.x или 12.x.1.x в зависимости от текущей версии EPMM. Важно отметить, что установка патча не требует простоя системы и, по данным Ivanti, не влияет на функциональность. Установка исправления является самым эффективным способом предотвращения эксплуатации, независимо от эволюции индикаторов компрометации.

Однако в условиях «предполагаемой компрометации» критически важно также провести активный поиск следов атаки. Ivanti предоставила клиентам детальные индикаторы компрометации и скрипт для обнаружения эксплуатации, разработанный совместно с NCSC-NL. Специалисты по реагированию на инциденты, такие как команда Unit 42, могут помочь в проведении проактивной оценки или расследовании возможного взлома.

Для организаций, использующих продукты Palo Alto Networks, доступна защита через такие решения, как Advanced Threat Prevention для межсетевых экранов нового поколения, Advanced URL Filtering, Advanced DNS Security, а также платформы Cortex Xpanse и Cortex XDR. Эксперты также предлагают готовые запросы на языке XQL для поиска признаков эксплуатации в логах EPMM или сетевого трафика, что позволяет внутренним командам безопасности самостоятельно проводить расследование.

В заключение, эпизод с уязвимостями в Ivanti EPMM служит суровым напоминанием о том, что системы управления, выходящие в интернет, требуют повышенного внимания и максимально оперативного цикла обновлений. Организациям необходимо не только закрывать уязвимости, но и развивать возможности по обнаружению аномалий и оперативному реагированию, чтобы противостоять угрозам, которые эволюционируют быстрее традиционных циклов обновления.

IPv4

• 138.226.247.241
• 144.172.106.4
• 152.32.173.138
• 185.173.235.232
• 192.242.184.234
• 83.138.53.139

IPv4 Port Combinations

• 107.173.231.201:6666
• 130.94.41.206:10808
• 130.94.41.206:8082
• 146.70.41.193:443
• 158.247.199.185:80
• 193.242.184.234:443
• 194.78.67.253:443
• 198.13.158.58:443
• 204.251.198.205:443
• 23.227.199.80:443
• 64.7.199.177:10882
• 64.7.199.177:18899
• 84.72.235.18:443
• 86.106.143.200:443
• 91.193.19.12:443

Domains

• *.ceye.io
• *.ddns.1433.eu.org
• *.eyes.sh
• *.gobygo.net
• *.introo.sh
• *.main.interacth3.io
• *.ngrok-free.app
• *.oast.live
• *.oast.me
• *.oast.site
• *.requestrepo.com
• interact.gateway.horizon3ai.com

URLs

• http://152.32.173.138/U26d86f1899513347.5b5b0c1b
• http://152.32.173.138/U5213b63dda61af48.0F3Ab3D3
• http://64.7.199.177:18899/93.187.56.19
• http://93-187-56-19.nistpyzlfeyzcyrsimcx814h1j59iqxo1.oast.fun
• http://hxa-93-187-56-19.nistpyzlfeyzcyrsimcx814h1j59iqxo1.oast.fun/`whoami
• https://e598292a5fbd.ngrok-free.app/204.251.198.205/443
• zeetcckhtudizieudqyck5o4ez16y973h.oast.fun/93.187.56.19