Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (KEV) новой записью. Речь идет об уязвимости CVE-2026-6973 в продукте Ivanti Endpoint Manager Mobile (EPMM). Основанием для включения стали подтвержденные данные об активном использовании этой проблемы в реальных атаках. Для специалистов по информационной безопасности это сигнал к немедленным действиям.
Уязвимость CVE-2026-6973
Суть уязвимости кроется в некорректной проверке входных данных (Improper Input Validation) в Ivanti EPMM до версий 12.6.1.1, 12.7.0.1 и 12.8.0.1. Злоумышленник, имеющий удаленный доступ к системе с правами администратора, может отправить специально сформированный запрос. Это позволяет ему выполнить произвольный код на сервере EPMM. Иными словами, атакующий получает полный контроль над платформой управления мобильными устройствами.
Уязвимости присвоен высокий уровень опасности - 7,2 балла по шкале CVSS (общая система оценки уязвимостей, версия 3.1). Вектор атаки сетевой, для эксплуатации не требуется сложных условий. Единственное ограничение - необходимость аутентификации с административными привилегиями. Однако в крупных организациях аккаунты администраторов нередко становятся целью фишинга или перебора паролей. Поэтому данное ограничение не снижает риска.
Почему эта уязвимость привлекла внимание CISA?
Ivanti EPMM - это решение для управления мобильными устройствами (Mobile Device Management). Оно широко применяется в корпоративной среде, особенно в компаниях, где сотрудники используют служебные смартфоны и планшеты. Через EPMM администраторы настраивают политики безопасности, устанавливают приложения и контролируют доступ к корпоративным данным. Компрометация такой системы означает, что злоумышленник может манипулировать всеми подключенными мобильными устройствами.
С технической точки зрения уязвимость классифицируется как CWE-20 (некорректная проверка входных данных). Это означает, что программа недостаточно проверяет данные, поступающие из внешних источников. Атакующий может внедрить вредоносную команду или код в поле, которое не фильтруется должным образом. В результате сервер выполняет этот код с привилегиями службы Ivanti EPMM. Подобные дефекты типичны для сложных веб-интерфейсов и API.
Последствия успешной эксплуатации могут быть катастрофическими для бизнеса. Во-первых, злоумышленник получает доступ к базе данных устройств, включая серийные номера, IMEI (идентификаторы мобильного оборудования) и сведения о пользователях. Во-вторых, он может удаленно установить вредоносное программное обеспечение на корпоративные мобильные устройства. В-третьих, атакующий способен изменить политики безопасности, отключить шифрование или заблокировать устройства. В результате компания рискует потерять контроль над тысячами телефонов и планшетов.
Учитывая, что CISA уже зафиксировала активную эксплуатацию, атакующие скорее всего нацелились на организации, где обновление безопасности еще не выполнено. Как правило, такие инциденты происходят вскоре после публикации данных об уязвимости. Разработчик Ivanti выпустил исправления в версиях 12.6.1.1, 12.7.0.1 и 12.8.0.1. Именно эти сборки отмечены как незатронутые. Администраторам необходимо как можно быстрее установить обновления.
Стоит отметить, что данная уязвимость - далеко не первый случай проблем в продуктах Ivanti. Ранее CISA уже добавляла в свой каталог другие уязвимости этого вендора, в том числе в Ivanti Connect Secure и Ivanti Pulse Secure. Это говорит о том, что решения компании постоянно привлекают внимание злоумышленников. Крупный масштаб развертывания и сложность архитектуры делают их привлекательной мишенью.
Что делать специалистам по безопасности?
Прежде всего, проверить версию установленного Ivanti EPMM. Если она ниже 12.6.1.1, 12.7.0.1 или 12.8.0.1, необходимо срочно обновить систему. При этом важно помнить, что процесс обновления требует временного простоя, поэтому его нужно планировать в нерабочее время. Кроме того, стоит усилить мониторинг событий на серверах EPMM: обращать внимание на подозрительные запросы от административных учетных записей. Многофакторная аутентификация для администраторов также снизит риск несанкционированного доступа. И хотя CISA не опубликовала конкретных индикаторов компрометации, в ближайшее время они могут появиться в открытых источниках.
Подводя итог, уязвимость CVE-2026-6973 - серьезная угроза для всех организаций, использующих Ivanti EPMM. Высокий балл CVSS, активная эксплуатация и важность самого продукта делают ее приоритетной для устранения. Игнорирование этого предупреждения может привести к полной компрометации мобильной инфраструктуры компании. Поэтому рекомендация CISA очевидна: установить патчи как можно быстрее, не дожидаясь атаки. Своевременное обновление - зачастую единственный способ избежать последствий, которые могут обойтись в миллионы долларов и подорвать доверие клиентов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6973
- https://hub.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-Multiple-CVEs?language=en_US
- https://www.cisa.gov/news-events/alerts/2026/05/07/cisa-adds-one-known-exploited-vulnerability-catalog
