СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ

CVE‑2026‑1281/1340: эксплуатация Ivanti EPMM через память‑ориентированный Java‑лоадер

Эксплуатация платформы Ivanti Endpoint Manager Mobile (EPMM) продолжается: исследователи обнаружили две критические уязвимости — CVE-2026-1281 и CVE-2026-1340, позволяющие обход аутентификации и Remote Code Execution. После публичного раскрытия уязвимостей была зафиксирована активная эксплуатация в дикой природе, в результате которой атакующие получили неавторизованный доступ к прикладным конечным точкам и успешно компрометировали ряд крупных организаций, включая государственные структуры.

Краткое изложение инцидента

Злоумышленники развёртывали специализированную полезную нагрузку — Java-класс с именем base.Info, выполняющий роль загрузчика этапа (stager). Этот компонент не похож на традиционные веб-шеллы: он не предоставляет интерактивных возможностей и не создаёт файлов на диске, а действует как скачивающий загрузчик вторичного Java-класса, который хранится извне и загружается в память с помощью reflection-вызовов.

Как работает загрузчик

  • При обращении к уязвимому компоненту загрузчик проверяет наличие HTTP-параметра с меткой k0f53cf964d387.
  • Если параметр присутствует, его значение декодируется (Base64) и загружается в память как Java-класс без записи на диск.
  • Загрузчик собирает системную информацию (пути к каталогам, сведения об ОС, пользовательские данные) и передаёт её второму этапу — что даёт атакующим контекст для дальнейшей ориентированной активности.
  • В отличие от классических веб-оболочек, stager фокусируется на тихой доставке и исполнении вторичной полезной нагрузки, часто оставаясь неактивным до момента активации.

«Само присутствие этого загрузчика указывает на потенциальную компрометацию или попытку ее совершения, даже при отсутствии последующих действий.»

Индикаторы компрометации (IOCs) и сигнатуры

Для первоначального обнаружения рекомендуется искать следующие характерные признаки:

  • HTTP-параметр: k0f53cf964d387.
  • Большие строки Base64 в логах запросов, начинающиеся с префикса yv66vg — типичный маркер Java bytecode (указывающий на компонент загрузчика классов).
  • Сетевые соединения с известными вредоносными IP-адресами; в расследовании обнаружены соответствующие сетевые IOCs, указывающие на множество источников атаки.

Почему это особенно опасно

  • Выполнение только в памяти: payload не оставляет артефактов на диске, поэтому традиционные антивирусные решения могут не обнаружить угрозу.
  • Тихое наличие («dormant backdoor»): загрузчик может служить платформой для последующего тайного развертывания бекдоров и ориентированных атак.
  • Сбор окружения: передача сведений о системе повышает шансы на успешную эскалацию и дальнейшее распространение внутри инфраструктуры.

Рекомендации по обнаружению и реагированию

Организациям и командам реагирования на инциденты следует немедленно предпринять следующие шаги:

  • Провести поиск в веб/прокси и серверных логах по параметру k0f53cf964d387 и по большим Base64-строкам, начинающимся с yv66vg.
  • Проверить сетевые логи на связи с известными вредоносными IP-адресами (IOC), включая ретроспективный анализ трафика.
  • Изолировать подозреваемые EPMM-инстансы и выполнить полное форензическое исследование памяти и окружения (memory forensics, EDR-снятие дампов памяти).
  • Осуществить аудит учетных записей и привилегий, а также проверить целевые конечные точки на признаки вторичных нагрузок.
  • Обновить и применить официальные патчи от Ivanti для устранения CVE-2026-1281 и CVE-2026-1340; при невозможности немедленного патча — применить компенсирующие меры и ограничить сетевой доступ к административным интерфейсам.
  • Усилить мониторинг: настроить обнаружение аномалий в HTTP-запросах, эвристические проверки Base64-полей и поведенческий анализ выполнения Java-кода в памяти.
  • Сообщить об инциденте в соответствующие CSIRT/команды по реагированию и при необходимости — в правоохранительные органы.

Вывод

Эксплуатация уязвимостей в Ivanti EPMM показывает типичный сценарий современных атак: минималистичный, работающий в памяти загрузчик, который остаётся незаметным, но обеспечивает надёжную «ножку в дверь» для дальнейших действий злоумышленников. Даже отсутствие немедленных следов вторичных действий не исключает компрометации — поэтому обнаружение признаков загрузчика следует рассматривать как повод для немедленного реагирования и всестороннего расследования.

Ключ к безопасности — оперативный поиск следов активности, своевременное применение патчей и наличие инструментов EDR/форензики, способных выявлять в памяти загружаемые и выполняемые Java-классы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: