Ivanti EPMM атаковали через RCE и украли данные

В феврале 2026 года был зафиксирован крупный инцидент в сфере cybersecurity, связанный с мобильной платформой Ivanti Endpoint Manager Mobile (EPMM). Злоумышленники использовали сразу две критические уязвимости Remote Code Execution (RCE) — CVE-2026-1281 и CVE-2026-1340, что позволило им выполнять произвольный код на уязвимых системах без прохождения аутентификации.

По данным отчета, атака резко активизировалась после появления общедоступного proof-of-concept exploit code. Именно этот инструмент, подтверждающий возможность эксплуатации, стал катализатором для масштабного использования уязвимостей в организациях.

Как развивалась атака

Методология злоумышленников включала предварительную разведку: они проверяли наличие уязвимых систем с помощью sleeping call. После подтверждения успешной эксплуатации атакующие внедрили Java-based webshell на страницу ошибки ‘403.jsp’ сервера EPMM.

Эта webshell представляла собой вариант open-source инструмента AntSword и была рассчитана на сохранение устойчивого доступа для последующих операций. Встроенные механизмы позволяли выполнять произвольные Java classes, закодированные в base64, что значительно расширяло возможности злоумышленников.

«На одном из этапов webshell собирала системную информацию и передавала её обратно злоумышленнику, что указывало на начало data exfiltration».

Что именно было похищено

После закрепления на инфраструктуре атакующие выполнили серию команд, направленных на удаление и извлечение конфиденциальных данных из базы данных Ivanti mifs. В частности, были затронуты таблицы, содержащие критически важную информацию, включая учетные данные, связанные с mobile devices, управляемыми через EPMM.

• конфиденциальные database tables были извлечены;
• данные были заархивированы и сохранены;
• действия указывали на заранее спланированную data theft operation.

Дополнительно злоумышленники предприняли меры для сокрытия следов: они удаляли файлы, созданные в процессе эксплуатации. Это свидетельствует о стремлении не только получить доступ к системе, но и максимально затруднить последующее расследование.

Выводы отчета

Техническая сложность атаки демонстрирует высокий уровень изощренности сценария, однако вместе с тем подчеркивает и оппортунистический характер подобных кампаний: злоумышленники быстро адаптируют доступные open-source tools под массовую эксплуатацию известных уязвимостей.

Отчет делает акцент на нескольких ключевых рисках:

• быстрое распространение exploit code после публичного раскрытия уязвимостей;
• высокая скорость адаптации инструментов для автоматизированных кампаний;
• необходимость немедленного применения security patches;
• важность постоянного мониторинга инфраструктуры и контроля среды.

Этот инцидент стал еще одним напоминанием о том, насколько опасной может быть быстрая эксплуатация zero-day и как критично для организаций выстраивать устойчивую защиту в сфере cybersecurity.