Ivanti предупредува за две EPMM слабости што се злоупотребуваат во zero-day напади

Ivanti објави две критични ранливости во Ivanti Endpoint Manager Mobile (EPMM), означени како CVE-2026-1281 и CVE-2026-1340, кои биле злоупотребени во zero-day напади.

Слабостите се ранливости за вбризгување код (code injection) кои им овозможуваат на далечински напаѓачи да извршат произволен код на ранливи уреди без автентикација. Двете ранливости имаат CVSS оценка 9.8 и се класифицирани како критични.

„Свесни сме за многу ограничен број клиенти чии решенија биле компромитирани во моментот на објавувањето“, предупредува Ivanti.

Ivanti објави RPM скрипти за ублажување на ранливостите за засегнатите верзии на EPMM:

• Користете RPM 12.x.0.x за EPMM верзии 12.5.0.x, 12.6.0.x и 12.7.0.x
• Користете RPM 12.x.1.x за EPMM верзии 12.5.1.0 и 12.6.1.0

Компанијата наведува дека не е потребен прекин во работењето за примена на закрпите и дека нема функционално влијание, па затоа силно се препорачува нивна итна инсталација.

Сепак, Ivanti предупредува дека hotfix-закрпите не преживуваат надградба на верзијата и мора повторно да се применат доколку уредот се надгради пред да биде достапно трајното решение.

Ранливостите ќе бидат трајно отстранети во EPMM верзија 12.8.0.0, која се очекува да биде објавена подоцна во првиот квартал на 2026 година.

Ivanti наведува дека успешната експлоатација им овозможува на напаѓачите да извршат произволен код на EPMM уредот, со што добиваат пристап до широк опсег на информации зачувани на платформата.

Овие информации вклучуваат имиња на администратори и корисници, кориснички имиња и е-поштенски адреси, како и податоци за управуваните мобилни уреди, како телефонски броеви, IP адреси, инсталирани апликации и идентификатори на уредите како IMEI и MAC адреси.

Доколку е овозможено следење на локацијата, напаѓачите би можеле да пристапат и до податоци за локацијата на уредите, вклучувајќи GPS координати и локации на најблиските мобилни базни станици.

Ivanti предупредува дека напаѓачите би можеле да го користат и EPMM API-то или веб-конзолата за правење промени во конфигурацијата на уредите, вклучително и поставките за автентикација.

Активно злоупотребувани zero-day ранливости

Во своите соопштенија, Ivanti наведува дека двете ранливости биле злоупотребени како zero-day, но компанијата нема сигурни индикатори за компромитација (IOC) поради малиот број на познати засегнати клиенти.

Сепак, компанијата објави технички упатства за откривање на експлоатација и однесување по експлоатацијата, кои администраторите можат да ги користат.

Ivanti наведува дека двете ранливости се активираат преку функциите In-House Application Distribution и Android File Transfer Configuration, при што обидите или успешната експлоатација се евидентираат во Apache access логот на патеката:

/var/log/httpd/https-access_log

За да им помогне на администраторите да идентификуваат сомнителна активност, Ivanti обезбеди и регуларен израз (regex) кој може да се користи за пребарување на експлоатациска активност во access логовите.

^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

Овој израз (регуларниот израз) ќе ги прикаже записите во логот кои одговараат на надворешни барања (не и на локален сообраќај) насочени кон ранливите ендпоинти кои враќаат HTTP 404 кодови на одговор.

Според Ivanti, легитимните барања кон овие ендпоинти обично враќаат HTTP 200 одговор. Обиди за експлоатација, без разлика дали биле успешни или само обиди, враќаат 404 грешки, што ги прави овие записи силен индикатор дека уредот бил таргетиран.

Сепак, Ivanti предупредува дека, откако уредот ќе биде компромитиран, напаѓачите можат да ги менуваат или бришат логовите за да ја сокријат својата активност. Ако се достапни логови надвор од уредот, тие треба да се прегледаат наместо локалните.

Ако се сомнева дека уредот е компромитиран, Ivanti не препорачува администраторите да го чистат системот.

Наместо тоа, клиентите треба:

• Да ја вратат EPMM од познато добар backup направен пред да се случи експлоатацијата, или
• Да го реконструираат уредот и да ги мигрираат податоците на замена за системот.

По враќање на системите, Ivanti предлага да се извршат следните активности:

1. Ресетирајте ги лозинките на сите локални EPMM акаунти.
2. Ресетирајте ја лозинката за LDAP и/или KDC сервисните акаунти што вршат пребарување.
   Упатство за конфигурирање на LDAP сервери
3. Отповикајте и заменете го јавниот сертификат што се користи за вашиот EPMM.
4. Ресетирајте ги лозинките за било кои други интерни или екстерни сервисни акаунти конфигурирани со EPMM решението.

Иако ранливостите влијаат само на Ivanti Endpoint Manager Mobile (EPMM), компанијата препорачува да се прегледаат и Sentry логовите.

„Иако EPMM може да се ограничи во DMZ со мало или никакво пристапување кон остатокот на корпоративната мрежа, Sentry е специјално наменет за тунелирање на специфични типови на сообраќај од мобилни уреди до интерни мрежни ресурси“, наведува анализа на Ivanti за CVE-2026-1281 и CVE-2026-1340.

„Ако се сомневате дека вашиот EPMM уред е засегнат, препорачуваме да ги прегледате системите до кои Sentry може да пристапи за потенцијален recon или lateral movement.“

U.S. Cybersecurity and Infrastructure Security Agency (CISA) ја додаде ранливоста CVE-2026-1281 во својот каталог на Known Exploited Vulnerabilities (KEV), потврдувајќи дека слабоста се злоупотребува активно.

Федералните цивилни агенции имаат рок до 1 февруари 2026 за да применат мерки за ублажување од производителот или да го прекинат користењето на ранливите системи според Binding Operational Directive 22-01.

Не е јасно зошто CISA не ги додаде двете ранливости во KEV, а BleepingComputer контактираше Ivanti за да потврди дека и двете биле злоупотребени.

Во септември, CISA објави анализа на malware kit-ови користени во напади кои ја злоупотребувале другите две EPMM zero-day ранливости. Тие слабости беа закрпени во мај 2025 година, но претходно исто така биле експлоатирани во zero-day напади.

Извори:

• Bleeping Computer – Ivanti warns of two EPMM flaws exploited in zero-day attacks Bleeping Computer