СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

Критические RCE в Ivanti EPMM: CVE-2026-1281/1340 эксплуатируются

В начале 2026 года специалисты зафиксировали значительную волну атак, связанной с двумя недавно раскрытыми критическими нулевыми уязвимостями в платформе управления мобильными устройствами Ivanti — CVE-2026-1281 и CVE-2026-1340. Обе уязвимости получили высокий рейтинг CVSS 9.8 и позволяют неавторизованное удалённое выполнение кода (RCE), что сделало продукты Ivanti Endpoint Manager Mobile (EPMM) приоритетной целью для злоумышленников.

Как работает эксплуатация

Механизм атаки базируется на небезопасной обработке вводимых злоумышленником данных серверным Bash-скриптом, доступным на интернет‑экспонированном веб‑эндпойнте EPMM. Это позволяло исполнить произвольные команды без аутентификации. После официального раскрытия уязвимостей компанией Ivanti 29 января 2026 года Федеральное управление безопасности информации Германии (BSI) отметило активные попытки эксплуатации и рекомендовало усилить мониторинг и средства обнаружения.

Анализ инцидентов выявил характерные паттерны:

  • целевые HTTP‑запросы к уязвимым конечным точкам, используемые для запуска RCE;
  • проверка успешности выполнения команд через повторные запросы DNS (outbound DNS callbacks);
  • развёртывание веб‑оболочек в директориях, связанных с веб‑приложениями Tomcat — в том числе через файлы типа '403.jsp';
  • вставка вредоносного Java‑кода, закодированного в Base64, с последующим декодированием и использованием class loaders в памяти;
  • попытки получить интерактивный доступ посредством обратных оболочек с использованием nc и ncat;
  • манипуляции с правами доступа к файлам и загрузка вторичных полезных нагрузок, включая ELF‑бинарники в формате Base64.

Цели атак и стадия пост‑эксплуатации

Доказательства указывают не только на немедленный вред, но и на попытки обеспечить долгосрочный доступ и собрать конфиденциальные данные:

  • экспорт баз данных, нацеленный на учетные данные пользователей Ivanti — признаки целенаправленной эксфильтрации;
  • загрузка и запуск вторичных C2‑модулей для управления и контроля (Management & Control);
  • создание «дремлющих» бекдоров и развертывание дополнительных вредоносных компонентов для поддержания устойчивого доступа и бокового перемещения внутри сетей;
  • рекогносцировочные команды для оценки уязвимости серверов, что указывает на планирование дальнейших действий после первоначального проникновения.

Индикаторы компрометации (IoC) и поведение злоумышленников

Отмеченные индикаторы, которые следует учитывать при расследовании и реагировании:

  • изменённые имена файлов и наличие новых JSP‑файлов в директориях Tomcat (например, '403.jsp' с необычным содержимым);
  • подозрительные процессы, запускающие декодирование Base64 и последующее выполнение Java‑кода;
  • входящие/исходящие DNS‑запросы с повторяющимися шаблонами, используемыми для подтверждения выполнения команд;
  • попытки установления обратных соединений через nc/ncat и нестандартный сетевой трафик к неизвестным хостам;
  • следы экспорта баз данных и попытки доступа к учетным записям и конфиденциальной информации.

«Даже успешно запатченные системы следует рассматривать как скомпрометированные» — предостерегает BSI, рекомендующее широкое сетевое наблюдение и полное расследование инцидентов.

География, масштабы и характер нападавших

Попытки эксплуатации быстро распространились по различным секторам, с особенно высокой активностью в США, Германии и Австралии. Первичные операции были оппортунистическими, но затем несколько акторов стали разворачивать более сложные и устойчивые кампании, что привело к «шумному» ландшафту угроз, сочетающему сканирование уязвимых устройств и последующие целевые действия.

Рекомендации по защите и реагированию

Учитывая характер уязвимостей и подтверждённые случаи эксплуатации, экспертная тактика должна включать следующие шаги:

  • незамедлительное применение официальных патчей от Ivanti, однако учитывать, что патч не исключает необходимости расследования (assume breach);
  • широкий мониторинг сети и логов: DNS, HTTP(S), доступ к Tomcat‑директориям, процессы, выполняющие декодирование Base64 и запуск Java‑кода;
  • проведение целевых поисков IoC и проведение форензики на точках, которые могли быть затронуты (обновлённые файлы JSP, новые аккаунты, изменение прав доступа);
  • блокировка и анализ необычных исходящих соединений и обратных туннелей (nc, ncat);
  • проверка и ротация учётных данных при обнаружении признаков их компрометации, а также аудит привилегий и доступа;
  • план восстановления и сегментация сети для минимизации бокового перемещения злоумышленников.

Вывод

Эксплуатация CVE‑2026‑1281 и CVE‑2026‑1340 показала классическое сочетание автоматизированного сканирования и целевых пост‑эксплуатационных операций, включая развёртывание веб‑оболочек, загрузку ELF‑модулей и попытки эксфильтрации данных. BSI и международные команды по инцидентам рекомендуют подход «предполагаемое компрометирование» и полное сетевое наблюдение даже после применения патчей. Организациям следует действовать оперативно: закрыть уязвимости, провести форензик и усилить мониторинг, чтобы не дать злоумышленникам закрепиться в инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: