Американское агентство CISA потребовало от федеральных ведомств срочно обновить Ivanti Endpoint Manager Mobile. Уязвимость CVE-2026-6973 уже использовали в атаках нулевого дня, а крайний срок для установки исправлений назначили на 10 мая 2026 года.

Речь идёт о системе управления мобильными устройствами, которую ставят внутри корпоративной сети. Для компаний это напоминание: консоль администрирования, оставленная в интернете и не обновлённая вовремя, быстро превращается в точку входа для злоумышленников.

Что нашли в Ivanti EPMM

Уязвимость получила идентификатор CVE-2026-6973 и затрагивает Ivanti Endpoint Manager Mobile, или EPMM, версий 12.8.0.0 и старше. Продукт помогает ИТ-службам управлять мобильными устройствами сотрудников, политиками доступа и корпоративными приложениями.

По описанию Ivanti, брешь позволяет удалённо выполнить произвольный код на уязвимой системе. Но есть важное условие: атакующему нужны административные права в EPMM. Иными словами, это не сценарий «любой человек из интернета нажал кнопку и получил сервер». Риск резко растёт, если учётные записи администраторов уже украли, подобрали или оставили без должного контроля.

Ivanti выпустила исправленные версии 12.6.1.1, 12.7.0.1 и 12.8.0.1. Компания также советует проверить все учётные записи с правами Admin и сменить пароли там, где есть подозрения на компрометацию.

Почему CISA дала всего четыре дня

CISA включила CVE-2026-6973 в каталог известных эксплуатируемых уязвимостей. Для американских федеральных ведомств такой список — не рекомендация, а сигнал к обязательному исправлению в сжатый срок. На этот раз агентство потребовало закрыть брешь до полуночи воскресенья, 10 мая 2026 года.

Такая скорость связана не только с тяжестью ошибки. Уязвимость нулевого дня (zero-day — брешь, которую используют до выхода исправления) уже применяли в реальных атаках. Ivanti говорит об «очень ограниченной» эксплуатации, но для защитников этого достаточно: если техника атаки известна хотя бы узкому кругу, она часто быстро расходится шире.

Похожая логика действует и для обычного бизнеса: если производитель выпустил патч для уязвимости, которую уже используют злоумышленники, откладывать обновление на «после выходных» опасно. Мы разбирали похожий сценарий в материале о том, как cPanel и WHM закрыли три уязвимости и кому нужно было обновиться в первую очередь.

Кого касается уязвимость

Ivanti подчёркивает: проблема затрагивает только локальные установки EPMM. Облачная Ivanti Neurons for MDM, продукт Ivanti EPM с похожим названием, Ivanti Sentry и другие решения компании под эту уязвимость не подпадают.

Это важная деталь для администраторов, которые видят в инвентаризации несколько продуктов Ivanti и пытаются понять, где именно риск. Проверять нужно именно EPMM, установленный на собственных серверах или в собственной инфраструктуре.

Некоммерческая организация Shadowserver отслеживает более 800 устройств Ivanti EPMM, доступных из интернета. Сколько из них уже установили патч против CVE-2026-6973, неизвестно. Но сам факт публичной доступности таких систем повышает цену ошибки: административные панели редко стоит оставлять открытыми без строгих ограничений по доступу.

Почему здесь важны пароли администраторов

Главная особенность CVE-2026-6973 — требование административной аутентификации. Поэтому обновление закрывает техническую брешь, но не решает всю проблему, если злоумышленники уже получили пароль администратора.

В январе Ivanti исправляла две другие критические уязвимости EPMM — CVE-2026-1281 и CVE-2026-1340. Их тоже использовали в атаках нулевого дня против ограниченного числа клиентов. Компания теперь напоминает: если после январских инцидентов клиенты сменили скомпрометированные данные входа, риск по новой уязвимости для них ниже.

Для российских компаний вывод тот же. Пароль от консоли управления мобильными устройствами не должен жить годами, храниться в общем файле или совпадать с паролем от других систем. Если злоумышленник получил права администратора, он может двигаться дальше по сети, собирать данные об устройствах и менять политики безопасности.

Чем корпоративная уязвимость отличается от обычного сбоя

Эту историю легко спутать с бытовыми проблемами связи: например, пользователь ищет, почему Telegram не работает на мобильном интернете, или что делать, если Discord бесконечно загружается. Но в случае Ivanti речь не о нестабильном приложении и не о качестве канала. Речь о сервере управления, через который компания контролирует устройства сотрудников.

Поэтому первый вопрос для ИТ-службы — не «открывается ли приложение», а «какая версия EPMM стоит, кто имеет права Admin и видна ли консоль из внешней сети». Если система управляет мобильными устройствами, она хранит чувствительные настройки и влияет на доступ к рабочим данным.

Отдельная зона риска — администрирование из публичных сетей: гостиниц, коворкингов, кафе, аэропортов. Для такой работы уместен сервис безопасного интернет-соединения, который помогает защитить передачу данных и приватность при подключении к чужой инфраструктуре.

Смежный риск — утечки служебных ключей и токенов из внутренних инструментов. О похожей проблеме мы писали в разборе, где уязвимость Ollama грозила утечкой ключей API и переписок.

Что сделать администраторам прямо сейчас

  • Проверьте, используется ли в организации Ivanti Endpoint Manager Mobile, а не другой продукт с похожим названием.
  • Сверьте версию EPMM: уязвимы 12.8.0.0 и более ранние сборки.
  • Установите исправленную версию: 12.6.1.1, 12.7.0.1 или 12.8.0.1 — в зависимости от вашей ветки.
  • Найдите все учётные записи с правами Admin и уберите лишние привилегии.
  • Смените пароли администраторов, если были подозрительные входы, старые общие пароли или следы январских атак на EPMM.
  • Проверьте журналы входа и действий в консоли за последние недели: необычные IP-адреса, новые учётные записи, изменения политик.
  • Ограничьте доступ к панели EPMM только нужными адресами и служебными сетями.
  • Запланируйте регулярную проверку внешне доступных административных интерфейсов: такие системы должны появляться в отчётах безопасности первыми.
Поделиться: