Агентство кибербезопасности и безопасности инфраструктуры США (CISA) внесло новую критическую уязвимость в свой Каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Этот шаг, как подчеркивает агентство, основан на обнаруженных доказательствах активного использования уязвимости в реальных атаках. Речь идет об опасной проблеме в системе управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM), позволяющей удаленно выполнять произвольный код без аутентификации.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2026-1281, была опубликована 29 января 2026 года. Согласно описанию, она классифицируется как инъекция кода (CWE-94: Improper Control of Generation of Code). Проще говоря, злоумышленники могут внедрить и выполнить произвольные вредоносные команды на целевой системе. Эксперты по безопасности присвоили уязвимости максимально высокий рейтинг критичности - 9.8 баллов по шкале CVSS 3.1. Такой показатель означает, что атака не требует ни сложных условий, ни прав доступа, ни взаимодействия с пользователем, но при этом позволяет получить полный контроль над системой.
Основная угроза заключается в том, что уязвимость затрагивает продукт, предназначенный для централизованного управления и защиты корпоративных мобильных устройств. Успешная эксплуатация CVE-2026-1281 дает злоумышленнику возможность выполнить несанкционированный код (RCE) на сервере EPMM без необходимости ввода учетных данных. Это открывает путь к полной компрометации инфраструктуры управления мобильными устройствами, краже конфиденциальных корпоративных данных, установке вредоносного ПО (malware) или обеспечению постоянного присутствия (persistence) в сети организации для последующих атак.
Включение уязвимости в каталог KEV - это официальный сигнал для всех федеральных гражданских исполнительных органов США. Согласно обязательному для них директиву CISA, они должны в сжатые сроки выполнить патчинг уязвимых систем. Хотя требование формально распространяется только на государственные структуры, CISA настоятельно рекомендует всем организациям, использующим ПО Ivanti, расценивать это как критически важное предупреждение. Практика показывает, что уязвимости из этого каталога часто становятся массовыми целями для киберпреступных группировок и операторов программ-вымогателей.
Вендор, компания Ivanti, уже предоставила информацию о версиях продукта, на которые распространяется проблема. Уязвимыми являются различные версии Ivanti Endpoint Manager Mobile. При этом, согласно данным производителя, не затронуты сборки 12.x.1.x RPM и 12.x.0.x RPM. Тем не менее, администраторам необходимо срочно проверить точные версии развернутых в их инфраструктуре систем EPMM.
Данный инцидент продолжает серию проблем с безопасностью в продуктах Ivanti, которые привлекали пристальное внимание экспертов и злоумышленников на протяжении последних лет. Активная эксплуатация уязвимости до выпуска всеобъемлющих исправлений или официальных рекомендаций по смягчению последствий (workarounds) является особенно тревожным признаком. Это указывает на высокую степень опасности и вероятность быстрого распространения атак.
Корпоративным ИТ и SOC-специалистам рекомендуется незамедлительно предпринять ряд действий. Во-первых, необходимо провести инвентаризацию активов на предмет наличия уязвимых версий Ivanti EPMM. Во-вторых, следует отслеживать официальный сайт Ivanti на предмет выпуска обновлений безопасности или советов по устранению рисков. В-третьих, важно усилить мониторинг сетевой активности, направленной на системы управления мобильными устройствами, с помощью систем обнаружения вторжений (IDS, Intrusion Detection System). В-четвертых, необходимо проверить логи на предмет любых признаков компрометации, особенно попыток несанкционированного выполнения команд. Своевременное применение исправлений остается самым эффективным способом защиты от этой критической угрозы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-1281
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340
