Ivanti предупредила клиентов о новой уязвимости в Endpoint Manager Mobile — системе управления корпоративными мобильными устройствами. Брешь CVE-2026-6973 уже используют в атаках нулевого дня, поэтому компания просит срочно установить исправления и проверить администраторские учётные записи.
Риск касается организаций, которые держат EPMM у себя на серверах. Для обычных пользователей это не повод паниковать, но хороший сигнал: слабое место в корпоративной системе управления устройствами быстро превращается в угрозу для почты, рабочих файлов и внутренних сервисов.
Что сломалось в Ivanti EPMM
Уязвимость CVE-2026-6973 связана с неправильной проверкой вводимых данных. По оценке Ivanti, атакующий с правами администратора может добиться remote code execution (RCE — удалённое выполнение кода) на системе с EPMM 12.8.0.0 и более ранними версиями.
Иными словами, проблема не даёт случайному человеку из интернета мгновенно захватить сервер без пароля. Но если злоумышленник уже получил администраторский доступ — через утечку пароля, фишинг (от англ. phishing — выуживание) или старую компрометацию, — у него появляется путь к выполнению произвольного кода.
Ivanti заявила, что знает об очень ограниченной эксплуатации CVE-2026-6973 на момент публикации бюллетеня. Компания также подчеркнула: другие уязвимости, закрытые вместе с этой, по её данным, пока не используют в реальных атаках.
Какие версии нужно обновить
Ivanti советует перейти на EPMM 12.6.1.1, 12.7.0.1 или 12.8.0.1. Выбор зависит от ветки продукта, которую использует организация.
Отдельно компания просит пересмотреть учётные записи с правами Admin и сменить пароли там, где есть риск компрометации. Это важная деталь: раз уязвимость требует администраторской аутентификации, старые или украденные пароли становятся ключом к атаке.
Под удар попадает только локально установленный EPMM. Ivanti уточняет, что проблема не затрагивает Ivanti Neurons for MDM, облачную систему управления конечными устройствами, а также Ivanti EPM, Ivanti Sentry и другие продукты компании.
Масштаб угрозы пока неясен
Сервис мониторинга Shadowserver видит более 850 IP-адресов с признаками Ivanti EPMM, доступных из интернета. Большая часть находится в Европе — 508 адресов, ещё 182 — в Северной Америке.
Эти цифры не означают, что все такие серверы уязвимы. Неизвестно, сколько администраторов уже установили исправления. Но сам факт доступности интерфейсов EPMM снаружи повышает интерес атакующих: такие системы часто связаны с управлением смартфонами сотрудников, сертификатами, политиками доступа и корпоративными приложениями.
Ivanti в тот же день закрыла ещё четыре серьёзные уязвимости в EPMM: CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 и CVE-2026-7821. Они могут привести к получению прав администратора, выдаче себя за зарегистрированный узел Sentry, вызову произвольных методов и доступу к закрытой информации. CVE-2026-7821 опасна без предварительных прав, но затрагивает только пользователей, которые настроили Apple Device Enrollment.
Почему старые пароли снова в центре внимания
В январе Ivanti уже раскрывала две критические уязвимости EPMM — CVE-2026-1281 и CVE-2026-1340. Их тоже использовали в атаках нулевого дня против, как заявляла компания, очень ограниченного числа клиентов.
Новая рекомендация напрямую связана с тем январским инцидентом. Если организация тогда попала под атаку и не сменила учётные данные, риск сейчас выше. Администраторский пароль, который давно лежит у злоумышленников, может снова пригодиться им после появления новой бреши.
Такая логика знакома не только по Ivanti. В истории с уязвимостью Ollama, грозившей утечкой ключей API и переписок, главная опасность тоже была не только в самой ошибке, но и в том, что рядом с ней хранились чувствительные секреты. В корпоративной среде одна слабая точка редко живёт отдельно от остальных.
Это не бытовой сбой связи
Важно не путать такие инциденты с массовыми проблемами у пользователей. Запросы вроде «мобильный интернет МТС не работает сегодня» или «Discord сбои» обычно описывают неполадки связи, приложений или маршрутизации. Уязвимость в EPMM — история другого уровня: она касается серверов, администраторских прав и доступа к корпоративным устройствам.
Для сотрудников внешний признак может выглядеть буднично: не ставится рабочий профиль, не приходит политика безопасности, корпоративная почта просит повторный вход. Но решение лежит не в переустановке приложения, а в работе ИТ-службы: обновлениях, журналировании, проверке прав и смене скомпрометированных паролей.
Тем, кто часто подключается к рабочим ресурсам из кафе, гостиниц и коворкингов, стоит дополнительно защищать соединение: для этого подойдёт сервис безопасного интернет-соединения, который помогает сохранить приватность данных в публичных сетях. Но он не заменяет патчи на сервере EPMM и аудит администраторских аккаунтов.
Что сделать администраторам и владельцам бизнеса
- Проверить, используется ли в компании локально установленный Ivanti EPMM, и уточнить текущую версию.
- Обновить EPMM до 12.6.1.1, 12.7.0.1 или 12.8.0.1 в зависимости от установленной ветки.
- Найти все учётные записи с правами Admin, убрать лишние права и отключить неиспользуемые аккаунты.
- Сменить пароли администраторов, особенно если в январе 2026 года система могла попасть под атаки CVE-2026-1281 или CVE-2026-1340.
- Проверить журналы входов, изменения политик, выдачу сертификатов и подозрительные действия в EPMM.
- Закрыть административные панели от прямого доступа из интернета, если они не должны быть доступны снаружи.
- Пересмотреть общий процесс обновлений: похожий подход полезен и для рабочих станций, о чём мы писали в материале про новые бета-сборки Windows 11 и безопасность.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.