Компания Ivanti раскрыла информацию о двух критических уязвимостях в решении Endpoint Manager Mobile (EPMM), которые могут позволить злоумышленникам выполнять произвольный код на уязвимых системах без необходимости аутентификации. Уязвимости, зарегистрированные как CVE-2026-1281 и CVE-2026-1340, имеют максимально возможный балл критичности 9.8 по шкале CVSS. Это указывает на исключительно высокий риск для затронутых развертываний. Обе проблемы представляют собой инъекцию кода.
Детали уязвимостей
Атака для эксплуатации этих уязвимостей требует лишь наличия сетевого доступа к целевой системе. Злоумышленникам не нужны никакие привилегии или взаимодействие с пользователем. Ivanti подтвердила, что на момент публикации информации ограниченное число клиентов уже столкнулось с эксплуатацией этих уязвимостей. Этот факт подчеркивает активную угрозу, которую представляют данные недостатки безопасности.
Важно отметить, что уязвимости изолированы в продукте EPMM. Другие решения Ivanti, включая облачные сервисы, такие как Ivanti Neurons for MDM или Ivanti Endpoint Manager (EPM), не затронуты. Клиенты, использующие облачные продукты Ivanti с интеграцией Sentry, также не подвержены риску от этих конкретных уязвимостей.
Подверженными оказались несколько версий EPMM. В их числе версии 12.5.0.0, 12.6.0.0, 12.7.0.0, 12.5.1.0 и 12.6.1.0. В ответ на угрозу Ivanti выпустила патчи в формате RPM-пакетов для каждой ветки версий. Организациям, использующим версии 12.5.0.x, 12.6.0.x или 12.7.0.x, следует применить патч 12.x.0.x. Тем, кто работает на версиях 12.5.1.0 или 12.6.1.0, необходим патч 12.x.1.x.
Установка этих исправлений не требует простоя системы и не влияет на её функциональность. Постоянное исправление будет включено в полный релиз версии EPMM 12.8.0.0, выход которой ожидается в первом квартале 2026 года. Однако существует важный нюанс: патч в формате RPM не сохраняется при обновлении основной версии продукта. Следовательно, организации, которые применят патч, а затем решат обновить версию EPMM, должны будут установить исправление повторно.
Процесс установки патча требует указания учетных данных непосредственно в URL-адресе RPM-пакета при развертывании. Для сред, где необходим максимальный уровень безопасности, Ivanti рекомендует более радикальную меру. Она заключается в полной пересборке виртуального аппаратного обеспечения EPMM с последующей миграцией данных. Этот подход позволяет обойтись без повторной регистрации управляемых мобильных устройств.
Эксперты по кибербезопасности настоятельно призывают администраторов, ответственных за инфраструктуру EPMM, немедленно установить предоставленные исправления. Сочетание нескольких факторов делает эти уязвимости исключительно опасными. Во-первых, для атаки не требуется аутентификация. Во-вторых, не нужно взаимодействие с пользователем. В-третьих, уже зафиксированы случаи активной эксплуатации в дикой природе.
Ранний переход на версию 12.8.0.0 после её выхода решит проблему окончательно и избавит от необходимости повторного применения временных патчей. До этого момента установка текущих исправлений является критически важной мерой для предотвращения потенциально разрушительных инцидентов безопасности.
Ссылки
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US
- https://www.cve.org/CVERecord?id=CVE-2026-1281
- https://www.cve.org/CVERecord?id=CVE-2026-1340
