Данные Threat intelligence указывают на то, что один злоумышленник несет ответственность за большую часть активной эксплуатации двух критических уязвимостей в Ivanti Endpoint Manager Mobile (EPMM), отслеживаемых как CVE-2026-21962 и CVE-2026-24061.
Проблемы безопасности были отмечены как активно эксплуатируемые в атаках нулевого дня в бюллетене безопасности Ivanti, где компания также анонсировала исправления.
Обе уязвимости получили критическую оценку серьезности и позволяют злоумышленнику внедрять код без аутентификации, что приводит к удаленному выполнению кода (RCE) на уязвимых системах.
Один IP-адрес, размещенный на bulletproof-инфраструктуре, ответственен за более чем 83% активности по эксплуатации двух уязвимостей, сообщает компания GreyNoise, специализирующаяся на интернет-разведке.
В период с 1 по 9 февраля платформа мониторинга зафиксировала 417 сессий эксплуатации, исходящих от 8 уникальных IP-адресов и сосредоточенных вокруг CVE-2026-21962 и CVE-2026-24061.
Наибольший объем, 83%, приходится на IP-адрес 193[.]24[.]123[.]42, размещенный у PROSPERO OOO (AS200593), который аналитики Censys пометили как bulletproof-автономную систему, используемую для атак на различные программные продукты.
Резкий всплеск произошел 8 февраля: 269 сессий за один день. Это почти в 13 раз больше среднесуточного показателя в 22 сессии, отметили в GreyNoise.
Из 417 сессий эксплуатации 354 (85%) использовали DNS-обратные вызовы OAST-стиля для проверки возможности выполнения команд, что указывает на деятельность брокеров начального доступа.
Интересно, что несколько опубликованных индикаторов компрометации (IoC) включают IP-адреса Windscribe VPN (185[.]212[.]171[.]0/24), присутствующие в телеметрии GreyNoise при сканировании Oracle WebLogic, но без активности эксплуатации Ivanti.
Исследователи отмечают, что IP-адрес PROSPERO OOO, который они видели, «не находится в широко опубликованных списках IoC, что означает, что защитники, блокирующие только опубликованные индикаторы, вероятно, упускают основной источник эксплуатации».
Этот IP-адрес не ограничен атаками на Ivanti, поскольку он одновременно эксплуатировал еще три уязвимости: CVE-2026-21962 в Oracle WebLogic, CVE-2026-24061 в GNU Inetutils Telnetd и CVE-2025-24799 в GLPI.
Уязвимость Oracle WebLogic заняла львиную долю в объеме сессий, затмив остальные 2902 сессиями, за ней последовала проблема Telnetd с 497 сессиями.
Активность эксплуатации выглядит полностью автоматизированной, с ротацией между тремя сотнями пользовательских агентов.
Исправления Ivanti для CVE-2026-1281 и CVE-2026-1340 не являются окончательными. Компания пообещала выпустить полные патчи в первом квартале этого года с выходом EPMM версии 12.8.0.0.
До тех пор рекомендуется использовать RPM-пакеты 12.x.0.x для версий EPMM 12.5.0.x, 12.6.0.x и 12.7.0.x, и RPM 12.x.1.x для версий EPMM 12.5.1.0 и 12.6.1.0.
Поставщик отмечает, что наиболее консервативным подходом является создание резервной копии экземпляра EPMM и миграция всех данных туда. Инструкции по этому поводу доступны здесь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
