Обновление Ivanti – это когда можно взломать компании по всему миру. Пароли даже не нужны

Две новые уязвимости нулевого дня в системе управления мобильными устройствами Ivanti уже используют в реальных атаках, и счёт идёт не на единичные случаи. Злоумышленники массово ищут незащищённые серверы и получают над ними полный контроль, не зная паролей и не вовлекая пользователей.

Речь идёт об уязвимостях CVE-2026-1281 и CVE-2026-1340 в Ivanti Endpoint Manager Mobile. Обе получили оценку 9,8 по шкале CVSS. Они позволяют удалённо выполнить произвольный код на сервере, который управляет корпоративными смартфонами и планшетами. Фактически атакующий может перехватить контроль над всей инфраструктурой управления мобильными устройствами.

По данным исследовательской группы Unit 42 компании Palo Alto Networks, атаки носят массовый и в основном автоматизированный характер. Злоумышленники устанавливают обратные оболочки, загружают вредоносные программы, проводят разведку и размещают веб-оболочки для дальнейшего доступа. Кампания затронула государственные и муниципальные структуры, медицинские организации, промышленные компании, юридические фирмы и технологический сектор в США, Германии, Австралии и Канаде.

Агентство CISA добавило CVE-2026-1281 в каталог известных эксплуатируемых уязвимостей. Это означает, что проблема уже активно используется в атаках и представляет высокий риск для организаций.

Первая уязвимость связана со старыми bash-сценариями, которые веб-сервер Apache применяет для обработки адресов. Ошибка позволяет внедрить команду в специально сформированный HTTP GET-запрос. Атакующий подменяет параметры запроса так, что сервер выполняет встроенную в них команду. В качестве простого теста злоумышленники часто используют команду sleep 5. Если сервер «замирает» на пять секунд, значит удалённое выполнение кода сработало, и можно переходить к установке полноценной нагрузки.

Вторая уязвимость затрагивает механизм передачи файлов на Android-устройствах. Причина та же – небезопасная обработка данных в bash-сценарии, но используется другой компонент. Эксплуатация происходит через похожие HTTP-запросы к другому адресу.

В ряде атак злоумышленники пытались обойти аутентификацию платформы MobileIron и сразу загружали второй этап вредоносной программы. Чаще всего он устанавливал веб-оболочки с именами вроде 401.jsp или 1.jsp в каталоге веб-приложения. Если сервер работал с правами администратора, атакующий получал полный контроль над системой. Также зафиксировали попытки загрузки агента Nezha для мониторинга серверов и подключения к узлам ботнета.

По оценке Palo Alto Networks, в сети доступно более 4 400 экземпляров Ivanti EPMM. Это потенциальная поверхность для атак, если системы не обновили.

Ivanti выпустила обновление безопасности в январе 2026 года. Компания рекомендует установить пакет RPM версии 12.x.0.x или 12.x.1.x в зависимости от используемой версии продукта. Обновление устанавливается без простоя и не влияет на работу функций. Производитель советует как можно скорее установить исправление и проверить систему на признаки взлома, поскольку атакующие могут сохранять скрытый доступ даже после установки патча.

Ситуация показывает, что время между публикацией информации об уязвимости и её массовым использованием практически исчезло. Новые CVE злоумышленники добавляют в свои инструменты сканирования в течение нескольких часов. Организациям с доступными из интернета интерфейсами управления стоит исходить из предположения, что попытки взлома уже были, и проверять инфраструктуру не только на наличие обновлений, но и на следы закрепления внутри сети.