Компания Ivanti выпустила срочные исправления для своей платформы управления мобильными устройствами Endpoint Manager Mobile (EPMM, ранее известной как MobileIron). Обновление закрывает сразу пять уязвимостей высокого уровня критичности, причём одна из них, CVE-2026-6973, уже применяется злоумышленниками в ограниченном числе целенаправленных атак. Это серьёзный сигнал для всех организаций, использующих данное решение.
Что произошло?
Седьмого мая 2026 года Ivanti опубликовала бюллетень безопасности, в котором сообщила о пяти новых уязвимостях. Все они затрагивают версии EPMM до 12.6.1.1, 12.7.0.1 и 12.8.0.1. Проблемы варьируются от нарушения контроля доступа до некорректной проверки сертификатов и ввода данных. Самая опасная из них - CVE-2026-6973, которая позволяет удалённо выполнять произвольный код на устройстве администратора. При этом злоумышленник должен иметь учётную запись с правами администратора. По данным Ivanti, атаки пока затронули лишь несколько клиентов, но угроза остаётся высокой.
Вторая важная деталь: три других уязвимости - CVE-2026-5786, CVE-2026-5787 и CVE-2026-7821 - не требуют аутентификации. Это значит, что для их эксплуатации злоумышленнику не нужно иметь логин и пароль. Например, CVE-2026-5787 позволяет неавторизованному удалённому злоумышленнику выдать себя за зарегистрированный хост Sentry (компонент для защиты трафика между устройствами и EPMM) и получить действительные сертификаты, подписанные центром сертификации. А CVE-2026-7821 даёт возможность зарегистрировать неавторизованное устройство из ограниченного набора незарегистрированных гаджетов, что ведёт к раскрытию информации о самом EPMM.
Связь с январскими событиями
Здесь важно вспомнить контекст. В январе 2026 года французский CERT (CERTFR) выпустил предупреждение о двух уязвимостях в EPMM - CVE-2026-1281 и CVE-2026-1340. Тогда Ivanti рекомендовала всем клиентам, которые могли быть скомпрометированы, немедленно сменить все пароли локальных учётных записей. Если организация не последовала этому совету, сейчас она рискует стать жертвой новой атаки. Дело в том, что злоумышленники, получившие доступ к паролям в ходе январских инцидентов, могут использовать их для эксплуатации уязвимости CVE-2026-6973. То есть цепочка атак может развиваться поэтапно: сначала компрометация через старые уязвимости, затем - выполнение кода через новую.
Технические подробности
Разберём каждую уязвимость чуть подробнее, но без излишней сложности.
- CVE-2026-5786 (оценка CVSS 8,8) - ошибка контроля доступа. Удалённый аутентифицированный пользователь может получить административные привилегии. Это означает, что даже обычный сотрудник с доступом к системе может стать её полноправным хозяином.
- CVE-2026-5787 (оценка 8,9) - некорректная проверка сертификатов. Злоумышленник без пароля может подменить легитимный хост Sentry и получить подписанные сертификаты. Это открывает путь к man-in-the-middle атакам и компрометации доверенных соединений.
- CVE-2026-5788 (оценка 7,0) - ещё одна проблема контроля доступа. Неавторизованный удалённый атакующий может вызывать произвольные методы в системе, что грозит утечкой данных и нарушением целостности.
- CVE-2026-6973 (оценка 7,2) - неправильная проверка вводимых данных. Требует аутентификации администратора, но позволяет выполнить произвольный код на сервере. Именно эта уязвимость уже используется в реальных атаках.
- CVE-2026-7821 (оценка 7,4) - опять проблема с сертификатами. Позволяет неавторизованному злоумышленнику зарегистрировать устройство, которое не должно было быть зарегистрировано, и получить доступ к конфиденциальным данным. Однако Ivanti уточняет: если организация не использует функцию Apple Device Enrollment (регистрация устройств Apple), то эта уязвимость ей не грозит.
Почему это важно прямо сейчас
Национальный центр кибербезопасности Нидерландов (NCSC) уже предупредил, что в ближайшее время ожидается публикация готового эксплойта (Proof-of-Concept кода) для одной или нескольких этих уязвимостей. Это резко увеличит количество атак, поскольку технически несложные злоумышленники смогут легко повторить атаку. Учитывая, что EPMM используется для управления корпоративными мобильными устройствами, компрометация этой системы может привести к полной утечке данных, остановке бизнес-процессов и финансовым потерям.
Важно отметить, что Ivanti также встроила в новые версии исправления для январских уязвимостей CVE-2026-1281 и CVE-2026-1340. Таким образом, обновление до версий 12.6.1.1, 12.7.0.1 или 12.8.0.1 закрывает сразу все известные дыры - и старые, и новые. Компания также выпустила новые версии компонента Sentry (10.4.2, 10.5.1 и 10.6.1), но они не обязательны, поскольку Sentry не подвержен данным уязвимостям. Однако при развёртывании нового экземпляра Sentry рекомендуется использовать именно эти версии.
Что делать администраторам
Первое и самое главное - установить обновление немедленно. Загрузить его можно через портал поддержки Ivanti. Если организация пострадала от январских атак или не меняла пароли администраторов, необходимо сделать это сейчас, даже до установки патча. Ivanti рекомендует пересмотреть все учётные записи с правами администратора и сменить их пароли. Это радикально снизит риск эксплуатации CVE-2026-6973, поскольку для неё требуются именно админские учётные данные.
Организациям, которые не используют Apple Device Enrollment, можно не беспокоиться о CVE-2026-7821, но остальные уязвимости всё равно актуальны. Облачные решения Ivanti Neurons for MDM, как заявляет производитель, не подвержены этим проблемам.
В текущей ситуации медлить нельзя. Даже если атака пока не произошла, появление публичного эксплойта - лишь вопрос времени. Лучшая защита - своевременное обновление и строгий контроль привилегированных учётных записей.
Ссылки
- https://forums.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-Multiple-CVEs
- https://www.cve.org/CVERecord?id=CVE-2026-7821
- https://www.cve.org/CVERecord?id=CVE-2026-6973
- https://www.cve.org/CVERecord?id=CVE-2026-5788
- https://www.cve.org/CVERecord?id=CVE-2026-5787
- https://www.cve.org/CVERecord?id=CVE-2026-5786
