Хакеры взломали Ivanti через нулевые дни — компании советуют сжечь сервера и начать заново

Ivanti выпустила обновления для 2 критических уязвимостей нулевого дня в Endpoint Manager Mobile. На момент выхода патчей ошибки уже использовались в атаках. Для компании это продолжение неприятной серии инцидентов, которые с начала года регулярно затрагивают крупных поставщиков корпоративных ИТ-решений.

Похожая ситуация складывалась и год назад. В январе 2025 года десяткам тысяч организаций пришлось срочно закрывать нулевой день в продуктах Fortinet, а клиенты Ivanti в то же время устанавливали экстренные исправления для собственных систем. Спустя год общий фон почти не изменился. Fortinet продолжает устранять уязвимости в механизмах единого входа, а Ivanti снова публикует патчи для новых критических багов, о которых стало известно уже после начала их эксплуатации.

Уязвимости получили идентификаторы CVE-2026-1281 и CVE-2026-1340. Обе затрагивают именно Endpoint Manager Mobile и оценены в 9.8 балла по шкале CVSS, что соответствует почти максимальному уровню опасности. Ошибки позволяют удаленно выполнять произвольный код без прохождения аутентификации. Фактически злоумышленник может получить полный контроль над сервером управления мобильными устройствами, если тот доступен из интернета.

В Ivanti сообщили, что знают лишь о небольшом числе клиентов, чьи системы были взломаны к моменту раскрытия информации. При этом разработчик отдельно указал, какие продукты под угрозу не попали. Уязвимости не затрагивают другие решения компании, включая облачные сервисы вроде Ivanti Neurons for MDM. Endpoint Manager представляет собой отдельный продукт и также не подвержен этим ошибкам. Пользователи облачных решений Ivanti с компонентом Sentry могут не опасаться именно этих уязвимостей.

Подобные дефекты открывают широкий набор возможностей для атакующих. Удаленное выполнение кода позволяет перемещаться по сети организации, менять настройки, повышать привилегии и получать доступ к данным. Ivanti прямо предупреждает, что в результате эксплуатации злоумышленник может добраться до части информации, хранящейся в системе управления мобильными устройствами.

В этот список входит персональная информация администраторов EPMM и пользователей, а также данные о самих мобильных телефонах и планшетах. Речь идет, в том числе, о номерах телефонов и координатах GPS, которые используются для контроля корпоративных мобильных устройств.

Поиск признаков взлома осложняется тем, что у Ivanti нет надежных индикаторов компрометации. Компания объясняет это тем, что число подтвержденных инцидентов остается небольшим. Вместо четкого набора признаков разработчик опубликовал технический разбор с общими рекомендациями, которые могут помочь выявить попытки эксплуатации.

ИБ-шникам предлагают начать анализ с журналов Apache. Внимание стоит уделить функциям In-House Application Distribution и Android File Transfer Configuration. Обычные запросы к этим компонентам возвращают HTTP-код 200, тогда как подозрительная активность часто сопровождается ошибкой 404. Ivanti также советует проверять любые GET-запросы с параметрами, содержащими команды bash.

Endpoint Manager Mobile уже не в первый раз сталкивается с уязвимостями такого класса. Предыдущие расследования показывали, что атакующие чаще всего закрепляются в системе 2 способами. Самый распространенный вариант, это добавление или изменение веб-шеллов, обычно с упором на страницы ошибок, например 401.jsp. Любые POST-запросы к таким адресам или обращения с параметрами разработчик предлагает рассматривать как серьезный повод для тревоги.

Еще один признак возможного взлома, появление в системе неожиданных файлов форматов WAR или JAR. Такие артефакты часто указывают на развертывание обратных оболочек, через которые злоумышленники поддерживают постоянный доступ. Дополняет картину и сетевая активность. EPMM в нормальном режиме не устанавливает исходящие соединения, поэтому любые такие записи в логах межсетевого экрана требуют отдельного расследования.

Американское агентство по кибербезопасности CISA ранее уже предупреждало, что подобные уязвимости позволяют атакующим устанавливать скрытые слушающие сервисы и закладывать долговременные бэкдоры. На этом фоне рекомендации Ivanti выглядят довольно жестко. При обнаружении признаков компрометации компания советует не пытаться очищать систему вручную, а полностью восстановить ее из резервной копии, после чего обновить до актуальной версии. Если резервного варианта нет, Ivanti предлагает развернуть новый сервер EPMM и перенести данные на него.

Глава компании watchTowr Бенджамин Харрис отметил, что среди пользователей Endpoint Manager Mobile много организаций из отраслей, где утечка данных особенно чувствительна. По его словам, текущие атаки выглядят как работа хорошо подготовленных и обеспеченных ресурсами групп. Наличие патчей не решает проблему само по себе, поскольку уязвимости использовались еще до их раскрытия. Серверы, которые на момент публикации информации были доступны из интернета, он рекомендует считать потенциально взломанными и сразу запускать полноценные процедуры реагирования на инцидент.