Ivanti сообщила о новой уязвимости в Endpoint Manager Mobile, которую уже пытались использовать в реальных атаках. Ошибка CVE-2026-6973 затрагивает локальные установки EPMM и позволяет пользователю с правами администратора удалённо выполнить код.

Для обычного владельца смартфона эта история звучит далёкой, но для компаний риск прямой: через систему управления мобильными устройствами проходят политики доступа, сертификаты, корпоративная почта и данные сотрудников. CISA внесла уязвимость в каталог известных эксплуатируемых проблем и потребовала от федеральных гражданских ведомств США установить исправления до 10 мая 2026 года.

Что случилось с Ivanti EPMM

Endpoint Manager Mobile — продукт для управления мобильными устройствами в компаниях. Такие системы помогают администраторам настраивать рабочие смартфоны и планшеты, выдавать доступ к корпоративным ресурсам, контролировать сертификаты и удалять служебные данные с потерянных устройств.

Уязвимость CVE-2026-6973 получила оценку CVSS 7,2. Причина — некорректная проверка входных данных в EPMM до версий 12.6.1.1, 12.7.0.1 и 12.8.0.1. По сообщению Ivanti, успешная атака требует удалённого входа под учётной записью с административными правами.

Компания заявила, что знает о очень небольшом числе клиентов, которых затронула эксплуатация CVE-2026-6973. Кто стоит за атаками, достигли ли злоумышленники цели и какие данные могли попасть под угрозу, из опубликованных сведений не следует.

Почему права администратора не снимают риск

На первый взгляд условие с админским доступом снижает опасность: случайный внешний пользователь не сможет просто так воспользоваться ошибкой. Но в корпоративной среде администраторские учётные записи часто становятся главной целью фишинга, кражи паролей и атак через уже взломанную инфраструктуру.

Если злоумышленник получил такой доступ раньше, новая уязвимость превращает его присутствие в более опасный сценарий. Удалённое выполнение кода даёт шанс закрепиться в системе, вмешаться в настройки, получить дополнительные данные или повлиять на управление устройствами.

Ivanti отдельно связала риск с январскими инцидентами вокруг CVE-2026-1281 и CVE-2026-1340. Компания пишет: если клиенты тогда сменили учётные данные после компрометации, вероятность атаки через CVE-2026-6973 заметно ниже.

Эта деталь важна для всех администраторов: установка патча закрывает дыру в коде, но не лечит уже украденные пароли. Мы регулярно видим тот же принцип в других продуктах — например, в истории про уязвимость Ollama и риск утечки ключей API.

Какие версии и продукты затронуты

Проблема касается EPMM до версий 12.6.1.1, 12.7.0.1 и 12.8.0.1. Администраторам нужно проверить фактическую версию сервера, а не ориентироваться на дату последнего планового обслуживания: иногда обновления откладывают из-за совместимости или внутренних регламентов.

Ivanti подчёркивает, что ошибка затрагивает только локально установленный EPMM. Она не касается Ivanti Neurons for MDM, облачного решения для управления мобильными устройствами, а также Ivanti EPM, Ivanti Sentry и других продуктов компании.

Такое разделение важно для инвентаризации. Схожие названия продуктов часто сбивают с толку закупщиков, техподдержку и руководителей ИТ-направлений. В итоге одна команда считает, что система уже обновлена, а другая продолжает эксплуатировать уязвимый сервер.

Практика та же, что и с операционными системами: сначала понять, какой именно продукт и какая версия работают в сети, затем принимать решение по обновлению. О похожей дисциплине обновлений мы писали в материале о том, что важно для безопасности в новых сборках Windows 11.

Что ещё закрыла Ivanti

В том же наборе исправлений Ivanti закрыла ещё четыре уязвимости в EPMM. Две из них получили более высокие оценки CVSS, чем CVE-2026-6973.

CVE-2026-5786 с оценкой 8,8 связана с неправильным контролем доступа. Она позволяет удалённому аутентифицированному атакующему получить административные права.

CVE-2026-5787 с оценкой 8,9 касается проверки сертификатов. По описанию компании, удалённый неаутентифицированный атакующий может выдать себя за зарегистрированные Sentry-хосты и получить клиентские сертификаты, подписанные удостоверяющим центром.

CVE-2026-5788 с оценкой 7,0 позволяет удалённому неаутентифицированному атакующему вызывать произвольные методы. CVE-2026-7821 с оценкой 7,4 связана с зачислением устройства из ограниченного набора незарегистрированных устройств и может привести к раскрытию информации об EPMM-сервере, а также повлиять на целостность личности нового устройства.

Как отличить атаку от обычного сбоя связи

Системы управления мобильными устройствами часто проявляют проблемы не как громкий сигнал тревоги, а как жалобы сотрудников: не приходит профиль, не обновляется почта, не открывается корпоративное приложение, пропал доступ к ресурсу. На этом этапе техподдержка может решить, что виноват оператор или телефон.

В поиске такие случаи нередко описывают бытовыми запросами вроде «не работает мобильный интернет Хабаровск» или «Билайн мобильный интернет не работает на телефоне». Но если одинаковые жалобы идут сразу от группы сотрудников, особенно после изменений в MDM, нужно проверить не только связь, но и сервер управления устройствами.

Отдельный риск — работа администраторов из гостиниц, коворкингов и аэропортов. Для таких случаев полезен сервис безопасного интернет-соединения, который помогает защитить соединение и приватность данных в публичных сетях. Это не заменяет обновления EPMM, но снижает риск перехвата учётных данных в небезопасной среде.

Практический вывод: что проверить до 10 мая 2026 года

  • Определите, используется ли в компании именно Ivanti EPMM, а не другой продукт Ivanti со схожим названием.
  • Проверьте версию сервера EPMM. Уязвимы выпуски до 12.6.1.1, 12.7.0.1 и 12.8.0.1.
  • Установите исправления Ivanti по штатной процедуре и сохраните журнал обновления.
  • Смените административные пароли, особенно если в январе 2026 года компания сталкивалась с CVE-2026-1281 или CVE-2026-1340.
  • Проверьте список администраторов EPMM и удалите лишние учётные записи.
  • Просмотрите журналы входов и действий администраторов за последние недели: ищите входы в необычное время, с нетипичных адресов и незнакомых устройств.
  • Проверьте сертификаты и зарегистрированные устройства, особенно новые записи без понятного владельца.
  • Настройте отдельный порядок реакции на массовые жалобы сотрудников: не списывайте их только на мобильную сеть или сбой смартфона.
  • Запретите администраторам входить в EPMM из случайных публичных сетей без дополнительных мер защиты соединения.
  • Зафиксируйте ответственного за мониторинг уведомлений Ivanti, чтобы следующие исправления не потерялись в почте.
Поделиться: