Пять новых уязвимостей, обнаруженных в локальном решении Ivanti для управления мобильными конечными точками, являются «классическим примером ловушки устаревших систем», которой должны избегать руководители служб безопасности (CSO), заявляет эксперт.
«Установите исправление сегодня, чтобы пережить выходные», — сказал Роберт Эндерл из Enderle Group, — «но начните как можно скорее планировать отказ от устаревших MDM-решений».
Он комментировал консультативное уведомление, выпущенное Ivanti в четверг об обнаружении пяти брешей в их комплексе Endpoint Manager Mobile (EPMM). Обновления доступны для всех.
Уязвимости достаточно серьезны, чтобы Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) добавило одну из уязвимостей в свой Каталог известных эксплуатируемых уязвимостей, поскольку она активно используется.
«Это не изолированный случай», — добавил Эндерл. «Это продолжение цикла, который мы видели в январе, что указывает на базовую архитектуру, с трудом противостоящую современным угрозам».
Через одну из уязвимостей, выявленных на этой неделе, CVE-2026-6973, было скомпрометировано «очень ограниченное число клиентов». Неправильная проверка вводимых данных в EPMM до версий 12.6.1.1, 12.7.0.1 и 12.8.0.1 позволяет удаленному прошедшему аутентификацию пользователю с административным доступом выполнить удаленное выполнение кода.
Йоханнес Ульрих, декан по исследованиям в SANS Institute, сообщил нам, что Ivanti справедливо отмечает, что эксплуатация этой бреши действительно требует административного доступа, и что злоумышленники могли получить необходимые учетные данные посредством эксплуатации предыдущих уязвимостей. По его словам, смена учетных данных имеет решающее значение после установки исправления для уже эксплуатируемой уязвимости. «Даже если не замечено явных признаков компрометации, исключить ее сложно или невозможно. Лучше сменить учетные данные, даже если индикаторы компрометации не найдены».
Ульрих также отметил, что в сопроводительном блоге к уведомлению Ivanti заявила, что использует инструменты ИИ для упреждающего выявления новых уязвимостей. «Это может привести к большему количеству отчетов об уязвимостях в будущем», — сказал он. «Я приветствую открытость Ivanti и готовность публично перечислять уязвимости по мере их исправления. Для организаций, использующих продукт Ivanti (или любой другой продукт), важно понимать риски, связанные с отсутствием установки исправлений или задержкой с их установкой».
Четыре другие уязвимости:
- CVE-2026-5787 с оценкой CVSS 8.9 — неправильная проверка сертификатов, позволяющая удаленному неаутентифицированному злоумышленнику выдавать себя за зарегистрированные хосты шлюза безопасности Ivanti Sentry и получать действительные клиентские сертификаты, подписанные центром сертификации;
- CVE-2026-5786 с оценкой CVSS 8.8 — уязвимость неправильного контроля доступа, позволяющая удаленному прошедшему аутентификацию злоумышленнику получить административный доступ;
- CVE-2026-5788 — брешь из-за неправильной проверки вводимых данных, позволяющая удаленному прошедшему аутентификацию пользователю с правами администратора выполнить удаленное выполнение кода.
Ульрих сказал, что он «удивлен, что Ivanti присвоила этой уязвимости такую низкую оценку CVSS, 7.0. Описание звучит более серьезно, но недостаточно деталей, чтобы определить, как Ivanti оценила эту уязвимость»; - CVE-2026-7821 — уязвимость неправильной проверки сертификатов, позволяющая удаленному неаутентифицированному злоумышленнику зарегистрировать устройство из ограниченного набора незарегистрированных устройств, что приводит к раскрытию информации о скомпрометированном оборудовании EPMM.
Sentry не содержит ни одной из этих уязвимостей. Однако администраторам Ivanti следует знать, что если они добавят новый сервер Sentry после обновления EPMM, им потребуется использовать одну из новых версий Sentry (10.4.2, 10.5.1 или 10.6.1).
Для реагирования на пять новых уязвимостей в EPMM Эндерл заявил, что CSO должны немедленно обновиться до исправленных версий 12.6.1.1+ и сменить все административные учетные данные. Это связано с тем, что злоумышленники, использовавшие предыдущие эксплойты, могут уже иметь ключи для обхода этих исправлений.
«Помимо немедленного исправления», — добавил он, — «проверьте, отключена ли функция Apple Device Enrolment, если она не используется, и начните стратегическую оценку того, подходят ли эти устаревшие локальные устройства по-прежнему модели Zero Trust».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
