Компания Ivanti выпустила исправления для своего продукта Endpoint Manager Mobile (EPMM), устраняющие две новые уязвимости удалённого выполнения кода, уже эксплуатируемые в реальных атаках.
«Нам известно о крайне ограниченном числе клиентов, чьи системы были скомпрометированы на момент публикации информации», — заявила компания в информационном бюллетене по безопасности, в котором уязвимости идентифицированы как CVE-2026-1281 и CVE-2026-1340.
Обе уязвимости Ivanti классифицирует как инъекции кода, эксплуатируемые без аутентификации, с рейтингом 9,8 из 10 по шкале CVSS. Они связаны с функциями внутреннего распространения приложений и передачи файлов Android в EPMM.
Отдельные патчи и детали эксплуатации доступны
Ivanti не выпустила полноценные обновлённые версии EPMM, а предоставила отдельные патчи для конкретных версий, которые необходимо устанавливать вручную. Патчи поставляются в виде RPM-файлов и устанавливаются командой install rpm url [patch_url].
Патч RPM_12.x.0.x применим к версиям EPMM 12.5.0.x, 12.6.0.x и 12.7.0.x, а также совместим с более старыми версиями 12.3.0.x и 12.4.0.x. Патч RPM_12.x.1.x предназначен для версий 12.5.1.0 и 12.6.1.0.
«Скрипт RPM не сохраняется после обновления версии», — предупреждает компания. «Если после установки патча вы обновите систему, его нужно будет переустановить. Окончательное исправление появится в следующем релизе — версии 12.8.0.0».
Хотя шлюз Ivanti Sentry, защищающий трафик между мобильными устройствами и корпоративными системами, напрямую не уязвим, устройства EPMM имеют права выполнения команд на шлюзах Sentry. Таким образом, при компрометации EPMM злоумышленники могут получить контроль и над Sentry.
Специалисты компании по пентесту WatchTowr проанализировали патчи и определили расположение уязвимостей и способы их эксплуатации. Подробный разбор опубликован в блоге компании.
Обнаружение и устранение последствий атак
Ivanti опубликовала отдельное руководство по выявлению признаков компрометации. В логах Apache по пути /var/log/httpd/https-access_log могут быть следы атак.
Компания рекомендует использовать регулярное выражение ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404 для поиска HTTP-ошибок 404 и GET-запросов с параметрами, содержащими команды bash.
«Чаще всего злоумышленники добавляют или изменяют файлы, внедряя веб-шеллы», — отметила Ivanti. «Особое внимание стоит уделить страницам ошибок, таким как 401.jsp. Любые POST-запросы или запросы с параметрами к таким страницам вызывают подозрения. Также следует проверить появление неожиданных WAR- или JAR-файлов».
Важно учитывать, что злоумышленники часто удаляют логи, а на нагруженных системах логи могут ротироваться несколько раз в день. Поэтому рекомендуется использовать функцию экспорта данных для передачи логов EPMM в SIEM-системы или другие сборщики.
При подозрении на компрометацию Ivanti советует проверить:
- список администраторов EPMM на наличие новых или изменённых учётных записей
- настройки аутентификации, включая SSO и LDAP
- новые приложения, отправленные на мобильные устройства
- изменения в конфигурации приложений, включая внутренние
- новые или изменённые политики
- изменения сетевых настроек, включая VPN-конфигурации для мобильных устройств
После восстановления скомпрометированного устройства EPMM из чистой резервной копии необходимо сменить пароли всех локальных учётных записей, учётных записей LDAP и KDC, используемых для запросов, отозвать и заменить сертификат развертывания EPMM, а также сменить пароли всех внутренних и внешних служебных учётных записей.
Поскольку EPMM может выполнять команды на шлюзах Sentry, а Sentry обеспечивает маршрутизацию трафика на внутренние системы, все ресурсы, доступные через Sentry, также следует проверить на признаки взлома.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
