Компания Ivanti выпустила исправления для платформы управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM). Обновления закрывают две уязвимости высокого уровня опасности, идентифицированные как CVE-2026-6973 и CVE-2026-10727. Обе проблемы получили оценку 7,2 балла по шкале CVSS. Вендор заявляет, что на момент публикации бюллетеня ему не известно о случаях реальной эксплуатации этих уязвимостей.
Детали уязвимостей
Первая уязвимость, CVE-2026-6973, относится к категории CWE-15 (внешний контроль системных или конфигурационных настроек). Она позволяет удаленному аутентифицированному злоумышленнику внедрять произвольные директивы веб-сервера Apache. В случае успешной эксплуатации это приводит к удаленному выполнению кода на целевой системе. Вторая уязвимость, CVE-2026-10727, представляет собой внедрение команд операционной системы (CWE-78). Аутентифицированный удаленный злоумышленник может выполнять произвольные команды с максимальными привилегиями root. Обе проблемы затрагивают версии Ivanti EPMM до 12.9.0.1, 12.8.0.3 и 12.7.0.2 включительно.
Уязвимости затрагивают системы, используемые для централизованного управления мобильными устройствами в корпоративной среде. Платформа EPMM применяется для настройки политик безопасности, развертывания приложений и контроля доступа к корпоративным ресурсам. Получение контроля над таким сервером дает злоумышленнику возможность скомпрометировать все подключенные мобильные устройства, изменить конфигурации безопасности и перехватить корпоративные данные. В случае эксплуатации уязвимости CVE-2026-10727 атакующий получает полный контроль над операционной системой сервера, что позволяет закрепиться в сети и перемещаться в сторону других критических систем.
Техника эксплуатации обеих уязвимостей требует предварительной аутентификации. Это снижает уровень угрозы для систем, где доступ к интерфейсу управления имеют только доверенные администраторы. Однако в случае компрометации учетных данных администратора или при наличии внутреннего нарушителя вектор атаки становится крайне опасным. Для эксплуатации CVE-2026-6973 злоумышленнику необходимо отправить специально сформированный запрос с вредоносными директивами Apache, которые сервер обработает без должной проверки. Для CVE-2026-10727 требуется передача команд операционной системы через уязвимый параметр ввода.
Стоит отметить, что обе уязвимости классифицируются как высокие (High), а не критические. Оценка 7,2 обусловлена тем, что для атаки необходима аутентификация. Однако, учитывая возможность выполнения кода с корневыми привилегиями, последствия успешной эксплуатации могут быть катастрофическими для организации. Полный перехват управления сервером EPMM может привести к утечке конфиденциальных данных, нарушению работы мобильных устройств и компрометации всей корпоративной мобильной инфраструктуры.
Компания Ivanti в своем бюллетене безопасности рекомендует всем заказчикам немедленно обновить установки EPMM до версий 12.9.0.1, 12.8.0.3 или 12.7.0.2 в зависимости от используемой ветки. Обновления доступны через портал поддержки после авторизации. Для новых развертываний предоставлены ISO-образы, для существующих - ссылки на директории с пакетами обновлений.
Организации, использующие Ivanti EPMM, должны оценить риски и приступить к обновлению в кратчайшие сроки, особенно если сервер управления доступен из внешних сетей или имеет большое количество подключенных мобильных устройств. Даже при отсутствии признаков атак откладывание установки патчей может привести к серьезным последствиям после публикации деталей уязвимостей. Злоумышленники часто начинают сканировать сеть в поиске уязвимых систем сразу после выхода бюллетеня.
На данный момент спецификации обеих уязвимостей опубликованы в открытом доступе. Это повышает вероятность появления эксплойтов в ближайшее время. Администраторам следует также проверить, не были ли уже скомпрометированы учетные записи с доступом к интерфейсу управления EPMM, и при необходимости сменить пароли. Дополнительно рекомендуется усилить мониторинг журналов событий и настроить оповещения о подозрительных действиях с привилегиями root.
Данные уязвимости не являются единственными в своем роде. Ранее Ivanti уже исправляла аналогичные проблемы в своих продуктах, однако каждая новая находка подчеркивает важность своевременного обновления систем управления мобильными устройствами. В текущем ландшафте угроз такие платформы становятся привлекательной целью для злоумышленников, поскольку позволяют получить доступ к большому количеству конечных точек через одну точку входа.
В заключение стоит подчеркнуть, что обе уязвимости CVE-2026-6973 и CVE-2026-10727 уже закрыты производителем. Основной риск сейчас связан с организациями, которые по какой-либо причине не установят обновления. Для защиты корпоративной мобильной инфраструктуры необходимо как можно скорее применить доступные патчи. Игнорирование этой рекомендации может привести к полной компрометации системы управления и, как следствие, к утечке данных и нарушению работы всех подключенных устройств.
Ссылки
