Агентство по кибербезопасности и защите инфраструктуры США (CISA) предоставило федеральным агентствам страны четыре дня на устранение уязвимости критической степени опасности в Ivanti Endpoint Manager Mobile (EPMM), которая эксплуатируется в атаках с января.
Эта уязвимость внедрения кода, отслеживаемая как CVE-2026-1340, позволяет злоумышленникам без привилегий удаленно выполнять код на устройствах EPMM, подключенных к Интернету и не пропатченных.
Компания Ivanti сообщила об этой и второй уязвимости безопасности (CVE-2026-1281) как об используемых в атаках нулевого дня, выпустив 29 января обновления безопасности для устранения обеих уязвимостей и «настоятельно» рекомендовав всем клиентам обновить свои системы для блокирования продолжающейся эксплуатации.
«Успешная эксплуатация может привести к удаленному выполнению кода без аутентификации. На момент раскрытия информации нам известно об очень ограниченном числе клиентов, чье решение было скомпрометировано», — заявила тогда компания.
Наблюдательная группа по интернет-безопасности Shadowserver в настоящее время отслеживает почти 950 IP-адресов с устройствами Ivanti EPMM, все еще доступных в сети, большинство из них находятся в Европе (569) и Северной Америке (206). Однако нет информации о том, сколько из них уже было пропатчено.
В понедельник Агентство по кибербезопасности и защите инфраструктуры США добавило уязвимость в свой Каталог известных эксплуатируемых уязвимостей (KEV) и предписало агентствам федерального гражданского исполнительного органа (FCEB) пропатчить свои системы EPMM к полуночи субботы, 11 апреля, в соответствии с Обязательным оперативным распоряжением (BOD) 22-01.
«Этот тип уязвимости является частым вектором атак для злонамеренных киберсубъектов и представляет значительные риски для федеральных структур», — предупредила CISA. «Примените меры по смягчению последствий в соответствии с инструкциями поставщика, следуйте применимым указаниям BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры по смягчению последствий недоступны».
CISA посоветовала всем защитникам, в том числе из частного сектора, в приоритетном порядке применить исправления для CVE-2026-1340 для обеспечения безопасности устройств своих организаций как можно скорее, даже несмотря на то, что BOD 22-01 распространяется только на федеральные агентства США.
Множество других уязвимостей Ivanti эксплуатировались в последние годы посредством атак нулевого дня для взломаширокого кругацелей, включая государственныеучреждения по всему миру.
В общей сложности CISA пометила 33 уязвимости Ivanti как эксплуатируемые в атаках, 12 из которых использовались различными операциями по распространению программ-вымогателей.
Ivanti предоставляет продукты для управления ИТ-активами более чем 40 000 клиентам через сеть из более чем 7 000 партнеров по всему миру.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
