Ivanti EPMM zero-day RCE: срочно установите патч и проверьте admin-доступ

Ivanti исправила zero-day RCE в EPMM. Хотя нужна admin-аутентификация, риск высок: проверьте учетные записи и обновитесь.

2026-05-15 GIGATAP Team #security
#Ivanti#EPMM#MDM

Ivanti EPMM zero-day RCE: почему «нужен admin» всё равно важно

Ivanti сообщила, что исправила уязвимость remote code execution (RCE) высокой степени серьезности в Endpoint Manager Mobile (EPMM), которая эксплуатировалась как zero-day.

Что известно (и что неизвестно)#

Ivanti раскрыла RCE, отслеживаемую как CVE-2026-6973. Компания описывает ее как проблему Improper Input Validation, которая может позволить атакующему выполнить произвольный код на сервере EPMM.

Ключевое ограничение в тексте advisory Ivanti: для успешной эксплуатации требуется administrative authentication. Иными словами, уязвимость не описывается как unauthenticated drive-by RCE. Но Ivanti также заявляет, что на момент раскрытия ей известно о «limited exploitation».

Здесь важен scope:

  • Ivanti утверждает, что проблема затрагивает только on-prem EPMM.
  • Ivanti заявляет, что bug не присутствует в Ivanti Neurons for MDM (cloud), Ivanti EPM (другой продукт), Ivanti Sentry или других продуктах Ivanti.

В исходном материале указаны затронутые версии: EPMM 12.8.0.0 и более ранние.

Чего в источнике нет:

  • Нет деталей exploit chain.
  • Нет подтвержденного списка жертв.
  • Нет telemetry по initial access — как были получены admin credentials.
  • Нет числа скомпрометированных deployments, кроме формулировки «limited».

Эти неизвестные не второстепенны. Именно они определяют, с чем вы имеете дело: credential-stuffing плюс RCE, этап weaponization после компрометации или что-то другое.

Почему «требуется admin authentication» — не повод расслабляться#

Security teams часто мысленно понижают приоритет уязвимостей, для которых требуется authentication. В реальных средах это может быть ошибкой, особенно для management planes вроде MDM/UEM.

Операционная реальность, на которую указывает собственная рекомендация Ivanti:

  1. Если у атакующих уже есть admin credentials — или они могут их получить, — «authenticated RCE» становится прямым переходом от доступа к полноценному server-side code execution.

  2. Admin access не всегда редкость. Во многих организациях со временем накапливаются privileged accounts: shared admin users, stale accounts, service accounts, emergency access, который так и не откатили.

  3. MDM-серверы находятся на «control plane» endpoint-устройств. Даже без утверждений о конкретной кампании категорийный риск очевиден: компрометация MDM-платформы может привести к изменению политик, злоупотреблению device management или более глубокому доступу в сеть — в зависимости от интеграции.

Ivanti прямо рекомендует клиентам review accounts with Admin rights и rotate those credentials where necessary. Это прямой намек, что threat model для CVE-2026-6973 включает сценарий «атакующий использует или получает admin creds».

Exposure: on-prem EPMM в интернете — плохое место, чтобы узнать об этом#

Источник ссылается на Shadowserver, который отслеживает более 850 IP-адресов с fingerprints Ivanti EPMM, доступными онлайн. Больше всего — в Europe (508) и North America (182). В статье также отмечается, что нет информации, сколько из них уже patched.

Рассматривайте это число как directional signal, а не как идеальную перепись:

  • Оно показывает, что значимое количество организаций запускают EPMM так, что он reachable from internet — намеренно или случайно.
  • Оно не говорит, уязвимы ли эти hosts, patched ли они или находятся ли за дополнительными controls.

Если вы эксплуатируете on-prem EPMM, практический вопрос не в том, «глобальный счетчик — 850 или 1 500?». Вопросы такие:

  • Доступен ли ваш EPMM instance из public internet?
  • Если да, действительно ли это нужно для бизнес-функции, и жестко ли такой доступ опосредован?

Патчи и mitigations, которые называет Ivanti#

Заявленная Ivanti mitigation — установить fixed versions. Источник перечисляет:

  • Ivanti EPMM 12.6.1.1
  • Ivanti EPMM 12.7.0.1
  • Ivanti EPMM 12.8.0.1

Отдельно Ivanti рекомендует:

  • Review accounts with Admin rights
  • Rotate Admin credentials where necessary

Это стоит интерпретировать так: patching закрывает конкретный code path, но credential review/rotation снижает вероятность того, что атакующий сможет выполнить предварительное условие «admin authentication required».

Если вы не можете установить patch немедленно, самая эффективная mitigation из исходного материала — уменьшить admin blast radius:

  • Удалите неиспользуемые admin accounts.
  • Rotate credentials для оставшихся admin accounts.
  • Убедитесь, что MFA и conditional access policies — где применимо в вашей среде — enforced для admin logins.

Источник не перечисляет дополнительных compensating controls, и придумывать их было бы рискованно. Но направление ясно: считайте privileged access ключевым условием атаки.

В тот же день были исправлены еще четыре EPMM-уязвимости высокой степени серьезности#

Тот же источник сообщает, что Ivanti также исправила четыре другие EPMM vulnerabilities высокой степени серьезности:

  • CVE-2026-5786
  • CVE-2026-5787
  • CVE-2026-5788
  • CVE-2026-7821

В статье описываются потенциальные последствия, включая:

  • получение admin access
  • impersonating registered Sentry