Критические уязвимости в Ivanti EPMM позволяют удалённо выполнять произвольный код

В конце января 2026 года была обнародована информация о двух критических уязвимостях в системе управления мобильными устройствами и приложениями Ivanti Endpoint Manager Mobile (EPMM). Эти уязвимости, получившие идентификаторы CVE-2026-1281 и CVE-2026-1340, а также номера в Банке данных угроз (BDU) BDU:2026-01061 и BDU:2026-01123, представляют серьёзную опасность. Эксперты оценили их базовый уровень опасности как критический с максимальными баллами по шкале CVSS, что указывает на чрезвычайно высокий риск эксплуатации.

Детали уязвимости

Обе уязвимости относятся к классу "Неверное управление генерацией кода" (CWE-94), который также известен как внедрение кода. Проще говоря, ошибка в логике работы программного обеспечения позволяет злоумышленнику встроить и выполнить свой произвольный код на атакуемом сервере. Особенно тревожным фактором является то, что для успешной атаки не требуется предварительная аутентификация злоумышленника в системе. Следовательно, любой внешний нарушитель, способный отправить специально сформированный запрос к уязвимому компоненту, может получить полный контроль над системой EPMM.

Под угрозой находятся все версии Ivanti Endpoint Manager Mobile до 12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0 и 12.7.0.0 включительно. Данный продукт широко используется в корпоративных средах для централизованного управления смартфонами, планшетами и корпоративными приложениями. Компрометация такой системы управления открывает злоумышленникам путь к тотальному контролю над всем парком мобильных устройств организации. В частности, возможна установка вредоносного программного обеспечения (malware), кража конфиденциальных данных или шифрование информации с целью выкупа.

Важно отметить, что, согласно данным из BDU, для данных уязвимостей уже существуют работающие эксплойты. Это означает, что киберпреступники или группы продвинутых постоянных угроз (APT) могут активно использовать их в реальных атаках. Фактически, окно для принятия защитных мер после публикации информации крайне узкое. Производитель, компания Ivanti, официально подтвердил наличие проблем и выпустил исправления. Таким образом, основной и самый эффективный способ устранения угрозы - немедленное обновление программного обеспечения до версий, в которых эти уязвимости исправлены.

Тем не менее, в текущих геополитических условиях прямое и безусловное следование рекомендациям зарубежного вендора может быть сопряжено с дополнительными рисками. Российские специалисты по кибербезопасности рекомендуют устанавливать обновления только после тщательной внутренней оценки всех сопутствующих рисков. К счастью, существуют компенсирующие меры, которые могут помочь снизить опасность до момента принятия окончательного решения по обновлению.

Прежде всего, необходимо строго ограничить доступ к веб-интерфейсу и API системы EPMM из интернета с помощью правил межсетевого экранирования. Доступ должен быть разрешён только с доверенных сегментов корпоративной сети. Кроме того, крайне рекомендуется задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы можно настроить на детектирование известных сигнатур атак, эксплуатирующих данные уязвимости. Мониторинг сетевой активности и подозрительных попыток выполнения команд на серверах EPMM также является важной мерой.

В заключение, ситуация с уязвимостями в Ivanti EPMM служит очередным напоминанием о критической важности своевременного управления обновлениями в инфраструктуре. Особенно это касается систем, которые занимают центральное место в безопасности периметра, таких как решения по управлению устройствами. Хотя обновление остаётся самым надёжным решением, комплексный подход, включающий сегментацию сети, мониторинг и анализ угроз, позволяет создать многоуровневую защиту. Следовательно, организациям необходимо безотлагательно провести инвентаризацию, выявить уязвимые экземпляры EPMM и принять взвешенное решение по их обновлению или усиленной защите компенсирующими мерами.

Детали уязвимости

Ссылки