Новая уязвимость нулевого дня в Ivanti EPMM: атаки продолжаются

Новая уязвимость в Ivanti EPMM: атаки продолжаются

Компания Ivanti, специализирующаяся на сетевых решениях для корпоративной безопасности, столкнулась с новой волной атак, использующих уязвимость нулевого дня в своем продукте Endpoint Manager Mobile (EPMM). Злоумышленники активно эксплуатируют дефект CVE-2026-6973, который позволяет удаленно выполнять произвольный код при наличии административных привилегий.

Что известно об уязвимости

Как сообщает Ivanti в официальном уведомлении, уязвимость CVE-2026-6973 связана с некорректной проверкой входных данных в EPMM. На момент публикации отчета об атаках было зафиксировано ограниченное количество случаев эксплуатации в реальных условиях. Однако уже известно, что Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло уязвимость в свой каталог известных эксплуатируемых дефектов в течение нескольких часов после объявления Ivanti.

Пять критических уязвимостей: Ivanti выпустила патчи

Помимо CVE-2026-6973, Ivanti также устранила еще четыре высокоуязвимых дефекта в EPMM:

• CVE-2026-5787
• CVE-2026-5788
• CVE-2026-7821
• CVE-2026-6973 (основная уязвимость нулевого дня)

По словам представителя Ivanti, все уязвимости были обнаружены в последние недели благодаря внутренним системам мониторинга с поддержкой искусственного интеллекта, а также благодаря обратной связи от клиентов и ответственному раскрытию информации. Одна из уязвимостей была выявлена и сообщена бывшим сотрудником компании.

Связь с предыдущими атаками

Эксперты предполагают, что корень проблемы может лежать в двух ранее эксплуатируемых уязвимостях: CVE-2026-1281 и CVE-2026-1340. Эти дефекты, обнаруженные в январе 2026 года, уже привели к масштабным атакам на почти 100 организаций, включая Нидерландское управление по защите данных и Совет по судебной системе.

По словам представителя Ivanti, для эксплуатации CVE-2026-6973 требуются административные привилегии. Это означает, что клиенты, которые в январе сменили учетные данные EPMM, как рекомендовала компания, находятся в значительно меньшей зоне риска. Также снижен риск для пользователей, не пострадавших от предыдущих атак.

Мнение экспертов

Кейтлин Кондон, вице-президент по исследованиям безопасности компании VulnCheck, отметила:

«Тот факт, что для эксплуатации CVE-2026-6973 требуются административные привилегии, указывает на то, что она могла быть использована в рамках атаки, где первоначальный доступ был получен другим способом».

Кондон также добавила, что, несмотря на отсутствие официальной информации о причастных группах, ранее эксплуатировавшиеся уязвимости CVE-2026-1281 и CVE-2026-1340 использовались различными злоумышленниками, включая группы, связанные с Китаем и Ираном. «Эти уязвимости были более опасными, так как позволяли удаленную эксплуатацию без аутентификации, в отличие от CVE-2026-6973».

Рекомендации для клиентов

Ivanti настоятельно рекомендует всем клиентам:

• Немедленно установить выпущенные патчи для всех пяти уязвимостей;
• Сменить учетные данные EPMM, если это не было сделано ранее;
• Ограничить доступ к административным привилегиям;
• Усилить мониторинг сетевой активности для выявления подозрительных действий.

Эксперты подчеркивают, что атаки на уязвимости Ivanti становятся повторяющейся проблемой для клиентов компании и специалистов по кибербезопасности. Многие из ранее обнаруженных дефектов были эксплуатированы злоумышленниками еще до того, как Ivanti смогла их устранить.