Компания Ivanti выпустила экстренное уведомление по безопасности, в котором описала две уязвимости средней степени опасности, обнаруженные в её платформе для управления ИТ-услугами Neurons for IT Service Management (ITSM). Эти недостатки безопасности, если их не устранить, могут позволить удалённому аутентифицированному злоумышленнику скомпрометировать пользовательские сессии и сохранить несанкционированный доступ к корпоративной сети даже после деактивации его учётной записи администратором. Проблемы затрагивают как локальные, так и облачные развёртывания программного обеспечения версий 2025.3 и ранее. Впрочем, Ivanti подтвердила, что на текущий момент нет свидетельств активного использования этих уязвимостей злоумышленниками в реальных атаках.
Детали уязвимостей
Для бизнеса и государственных организаций, использующих системы управления услугами, подобные новости всегда вызывают повышенное внимание. ITSM-платформы служат центральным узлом для обработки заявок, управления инцидентами и контроля доступа, часто интегрируясь с другими критически важными системами. Компрометация такой платформы открывает путь к утечке конфиденциальных данных, мониторингу внутренних бизнес-процессов и может стать трамплином для горизонтального перемещения по сети организации. Таким образом, даже уязвимости средней степени серьёзности в данном контексте представляют существенный риск.
Первая из описанных проблем получила идентификатор CVE-2026-4913 и оценку 5.7 по шкале CVSS. Её суть заключается в неправильной защите альтернативного пути в программном обеспечении. На практике это означает, что удалённый атакующий, уже прошедший аутентификацию в системе, может сохранить доступ к ней даже после официального отключения его учётной записи администраторами. Этот феномен, который иногда называют "зомби-доступом", создаёт серьёзную угрозу со стороны недобросовестных сотрудников или внешних злоумышленников, получивших контроль над легитимными учётными данными. Они могут продолжить скрытно наблюдать за внутренними системами и рабочими процессами долгое время после того, как их привилегии должны были быть аннулированы, собирая информацию для дальнейших атак или саботируя операции.
Вторая уязвимость, CVE-2026-4914 с оценкой CVSS 5.4, классифицируется как хранимая межсайтовая сценария, или Stored XSS. Используя эту слабость, аутентифицированный злоумышленник может внедрить вредоносный сценарий в содержимое платформы. Когда другой пользователь откроет страницу с этим сценарием, произойдёт его выполнение в контексте сессии жертвы. Это открывает возможности для похищения сессии, несанкционированного доступа к её данным и извлечения конфиденциальной информации. Хотя для успешной атаки требуется взаимодействие с целевым пользователем, например, переход по ссылке или открытие тикета, угроза перехвата управления учётной записью в ключевой системе управления является значительной.
С точки зрения тактик злоумышленников, описанные уязвимости идеально вписываются в этапы закрепления в системе и повышения привилегий, описанные в матрице MITRE ATT&CK. Сохранение доступа после блокировки учётной записи - это классический метод обеспечения устойчивости, а использование XSS для хищения сессий позволяет эскалировать привилегии в рамках легитимного доступа. В сочетании друг с другом или с другими, менее серьёзными уязвимостями, эти недостатки могут превратиться в полноценный инцидент безопасности, ведущий к утечке данных и операционным простоям.
Для защиты корпоративных сред от потенциальной эксплуатации Ivanti настоятельно рекомендует администраторам обновить свои системы до исправленной версии 2025.4. Необходимые действия полностью зависят от модели развёртывания программного обеспечения. Организациям, использующим облачную версию Ivanti Neurons for ITSM, не требуется предпринимать никаких немедленных действий. Компания проактивно применила все необходимые исправления безопасности во всех управляемых облачных средах ещё 12 декабря 2025 года, полностью обезопасив клиентов, использующих хостинг, от обеих уязвимостей.
Однако компаниям, управляющим локальными развёртываниями платформы, необходимо действовать вручную. Командам безопасности и системным администраторам следует немедленно войти в портал Ivanti License System (ILS), чтобы загрузить и установить патч версии 2025.4. Учитывая, что инструменты управления ИТ-услугами часто становятся мишенью для групп угроз, включая APT (продвинутые постоянные угрозы), поддержание таких централизованных платформ в актуальном состоянии является критически важной задачей. Своевременная установка обновлений остаётся наиболее эффективной защитой от несанкционированного доступа, даже если отдельные уязвимости оцениваются как не самые критические. Промедление с установкой патчей создаёт окно возможностей для злоумышленников, которые постоянно сканируют сети на наличие известных, но неисправленных уязвимостей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-4913
- https://www.cve.org/CVERecord?id=CVE-2026-4914
- https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2026-4913-CVE-2026-4914?language=en_US
