Производитель решений для управления ИТ-услугами Ivanti предупредил о критической уязвимости в продукте Neurons for ITSM. Она затрагивает как облачные, так и локальные версии системы. Злоумышленник, уже имеющий учётную запись пользователя, может получить полный административный контроль над платформой. Обновления для устранения проблемы уже выпущены.
Уязвимость CVE-2026-9614
Проблема получила идентификатор CVE-2026-9614 и оценку 8,8 балла по шкале CVSS (система оценки степени опасности уязвимостей). Это высокий уровень угрозы, поскольку для атаки не требуется сложных действий или вмешательства жертвы. Необходимо лишь сетевое подключение к системе и минимальные права пользователя.
Корень уязвимости - неверная реализация контроля доступа (CWE-284). Разработчики допустили ошибку в логике проверки прав: аутентифицированный пользователь обращался к ресурсам, предназначенным только для администраторов. Эксплуатация позволяет обойти политику безопасности и выполнить эскалацию привилегий до уровня администратора.
Под удар попали две основные версии продукта. Облачная служба Ivanti Neurons for ITSM версий 2026.1 (до патча 9) и 2026.2 (до патча 1) - устранение уже проведено поставщиком на стороне. Локальные развертывания (On-Premises) на платформах 2025.2, 2025.3 и 2025.4 (все версии до соответствующих патчей первого уровня) требуют вмешательства администраторов.
По словам разработчиков, на момент публичного раскрытия информации о проблеме не было известно ни об одном случае её реального использования для атаки на клиентов. Тем не менее, компания приняла решение выпустить внеплановое обновление. Причина - простота эксплуатации и потенциально серьёзные последствия для пострадавших организаций.
Администраторам локальных версий необходимо скачать исправления из раздела загрузок портала ILS (система лицензирования и обновлений Ivanti). Для облачных пользователей никаких действий не требуется - патчи были развёрнуты автоматически 24 и 25 мая 2026 года. Однако стоит учесть, что в те же дни выходили и другие исправления, связанные с некорректным логированием IP-адресов (затрагивало только облачную версию). Путать эти два обновления не стоит, хотя оба уже установлены.
Самый опасный сценарий при данной уязвимости - захват административной учётной записи сторонним лицом. Атакующий, получив доступ к панели управления, может создавать и удалять учётные записи, менять конфигурации сервисов, извлекать базы данных с информацией об инцидентах и запросах пользователей. Для служб поддержки и ИТ-департаментов, активно использующих ITSM (системы управления ИТ-услугами), это грозит полной компрометацией всей цепочки обслуживания. Утечка внутренних заявок, паролей и данных клиентов - лишь минимальные последствия.
Эксперты по безопасности обращают внимание на характер уязвимости: она не требует высокой квалификации злоумышленника. Достаточно зарегистрироваться в системе с обычной ролью и отправить специально сформированный запрос к административным ресурсам. Неправильные проверки доступа пропустят его - и пользователь станет администратором. Именно эта низкая сложность эксплуатации побудила Ivanti выпустить исправление как можно скорее, не дожидаясь очередного планового релиза.
Чем опасна такая ошибка для бизнеса? Если организация использует Ivanti Neurons для ITSM в качестве единственной консоли управления ИТ-услугами, то последствия могут быть катастрофическими. Злоумышленник, получивший административные права, сможет не только читать и менять заявки, но и перехватывать процессы согласования, изменять маршрутизацию запросов, внедрять вредоносные вложения в ответы пользователям. В случае компрометации системы контроля версий конфигураций он сможет распространить атаку на другие сервисы инфраструктуры.
Производитель рекомендует прежде всего провести аудит ролей и разрешений внутри системы. Даже после установки патча стоит убедиться, что права пользователей назначены корректно и не допускают избыточного доступа. Отсутствие известных индикаторов компрометации (IOC) не означает, что атаки не могли произойти ранее, поэтому рекомендуется внимательно проверить логи на предмет подозрительных попыток обращения к административным интерфейсам.
Для тех, кто всё ещё не обновил локальные экземпляры, критично сделать это безотлагательно. Обновления доступны в виде отдельных патчей для каждой уязвимой ветки: 2025.2 Patch 1, 2025.3 Patch 1 и 2025.4 Patch 1. Разработчики подчёркивают, что это срочное исправление, и промедление может стоить данных.
Новость ещё раз напоминает: ошибки контроля доступа остаются одной из самых частых причин утечек в коммерческом ПО. Даже крупные вендоры порой упускают из виду простые проверки - и этим пользуются атакующие. Единственное спасение - оперативное внедрение обновлений и постоянный аудит привилегий. Именно эти меры позволят снизить риски до минимума.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-9614
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2026-9614
- https://www.ivanti.com/blog/june-2026-ivanti-neurons-for-itsm-security-update
