Хакеры атаковали Ivanti через нулевые дни: компания советует полностью восстанавливать серверы

Киберпреступники получили возможность отслеживать корпоративные мобильные устройства.

Компания Ivanti выпустила срочные обновления для двух критических уязвимостей нулевого дня в Endpoint Manager Mobile. На момент выхода патчей обе дыры уже использовались злоумышленниками. Это очередной инцидент в серии проблем с безопасностью у крупных поставщиков корпоративных IT-решений, которые происходят с начала 2025 года.

Ситуация отчасти повторяет события прошлого года: в январе 2025 десятки тысяч компаний экстренно устраняли нулевой день в продуктах Fortinet, одновременно клиенты Ivanti ставили критические исправления для собственных систем. Спустя год ситуация практически не изменилась — Fortinet продолжает закрывать уязвимости в механизмах единого входа, а Ivanti снова выпускает патчи для свежих критических багов, которые уже начали эксплуатироваться.

Идентификаторы уязвимостей — CVE-2026-1281 и CVE-2026-1340. Они затрагивают исключительно Endpoint Manager Mobile и оценены по CVSS в 9.8 балла, что почти максимально по шкале опасности. Ошибки позволяют удалённо выполнять произвольный код без авторизации. Злоумышленник, имея доступ к серверу управления мобильными устройствами из интернета, получает полный контроль над ним.

По данным Ivanti, на момент публикации патчей пострадало лишь небольшое число клиентов. Компания также уточнила, что другие её решения, включая облачные сервисы типа Ivanti Neurons for MDM, не подвержены этим багам. Endpoint Manager как отдельный продукт не затронут, а пользователи облачных решений с компонентом Sentry могут не беспокоиться о CVE-2026-1281 и CVE-2026-1340.

Эксплуатация этих уязвимостей открывает злоумышленникам широкие возможности: от перемещения по корпоративной сети до повышения привилегий и доступа к данным. В зоне риска — персональная информация администраторов и пользователей, а также сведения о мобильных устройствах, включая номера телефонов и GPS-координаты.

Выявить взлом сложно из-за отсутствия надёжных индикаторов компрометации. Ivanti опубликовала техническое руководство с общими рекомендациями для обнаружения попыток эксплуатации. Специалисты по безопасности должны обратить внимание на журналы Apache, особенно компоненты In-House Application Distribution и Android File Transfer Configuration. Нормальные запросы возвращают HTTP-код 200, а подозрительная активность — 404. Также важно отслеживать GET-запросы с параметрами, содержащими команды bash.

Ранее Endpoint Manager Mobile уже сталкивался с аналогичными проблемами. Атакующие обычно закрепляются в системе двумя способами: через веб-шеллы, например страницы ошибок 401.jsp, и размещение неожиданных файлов форматов WAR или JAR, что указывает на возможные обратные оболочки. Любая исходящая с сервера сетевая активность также требует проверки, так как по умолчанию EPMM не инициирует соединений.

Американское агентство CISA предупреждало, что подобные уязвимости дают возможность устанавливать скрытые слушатели и долговременные бэкдоры. В этой связи рекомендации Ivanti довольно жёсткие: при выявлении признаков взлома компания советует не пытаться чинить сервер вручную, а полностью восстановить его из резервной копии с последующим обновлением до актуальной версии. Если резервной копии нет, необходимо развернуть новый сервер EPMM и перенести данные.

Генеральный директор watchTowr Бенджамин Харрис отметил, что Endpoint Manager Mobile используется во многих организациях с чувствительными данными. По его словам, атаки выглядят как работа хорошо подготовленных и финансируемых групп. Даже наличие патчей не устраняет риск, так как уязвимости использовались до их публикации. Серверы, которые были доступны из интернета на момент раскрытия информации, следует считать потенциально скомпрометированными и сразу применять процедуры реагирования на инциденты.