CVE-2026-1281

Суть уязвимости

Уязвимость CVE-2026-1281 в Ivanti Endpoint Manager Mobile (EPMM) представляет собой критическую ошибку внедрения кода (Code Injection). Проблема кроется в недостаточной санитизации и валидации входных данных, передаваемых пользователем через определенные веб-компоненты или API-эндпоинты системы.

Поскольку уязвимость не требует аутентификации, любой внешний злоумышленник, имеющий сетевой доступ к интерфейсу EPMM, может отправить специально сформированный HTTP-запрос. Сервер некорректно обрабатывает полезную нагрузку, интерпретируя ее как исполняемый код на стороне сервера. Это приводит к удаленному выполнению кода (RCE) с привилегиями службы веб-сервера. В случае успешной эксплуатации атакующий может полностью скомпрометировать систему MDM, похитить конфигурации, сертификаты, учетные данные и получить контроль над всеми управляемыми мобильными устройствами в инфраструктуре.

Как исправить

Единственным надежным способом устранения данной уязвимости является установка официального исправления (патча) от вендора.

1. Обязательно создайте резервную копию конфигурации и полный снапшот (snapshot) виртуальной машины EPMM перед проведением любых работ.
2. Авторизуйтесь на официальном портале поддержки Ivanti и загрузите актуальный релиз или хотфикс, в котором заявлено устранение CVE-2026-1281.
3. Подключитесь к интерфейсу командной строки (CLI) сервера EPMM по SSH, используя учетную запись администратора (enable mode).
4. Запустите процесс проверки и установки доступных обновлений:

software update

1. Дождитесь завершения процесса установки и автоматической перезагрузки сервера.
2. После перезагрузки проверьте текущую версию системы, чтобы убедиться, что патч успешно применен:

show version

1. Проверьте работоспособность сервисов и убедитесь, что мобильные устройства успешно синхронизируются с сервером.

Временные меры

Если немедленная установка патча невозможна в связи с бизнес-процессами, необходимо срочно применить компенсирующие меры для снижения риска эксплуатации.

1. Строго ограничьте сетевой доступ к административному веб-интерфейсу и API EPMM (обычно порты 443 и 8443). Доступ должен быть разрешен только из выделенного Management VLAN или через корпоративный VPN.
2. Настройте правила межсетевого экрана (Firewall) для блокировки несанкционированного доступа к портам управления из сети Интернет. Пример ограничения доступа с помощью iptables (разрешаем только доверенную подсеть, остальное блокируем):

iptables -A INPUT -p tcp --dport 8443 -s 10.0.0.0/8 -j ACCEPT

iptables -A INPUT -p tcp --dport 8443 -j DROP

1. Интегрируйте EPMM за Web Application Firewall (WAF). Настройте WAF на блокировку аномальных HTTP-запросов, содержащих спецсимволы, характерные для инъекций команд (например, обратные кавычки, пайпы, точки с запятой в параметрах URL и заголовках).
2. Если вендор опубликовал конкретные индикаторы компрометации (IoC) или уязвимые пути URI, заблокируйте доступ к этим конкретным путям на уровне балансировщика нагрузки или WAF.
3. Усильте мониторинг SIEM-системы. Настройте алерты на аномальную активность дочерних процессов от веб-сервера EPMM (например, запуск sh, bash, curl, wget от пользователя tomcat или apache), а также на создание новых неизвестных файлов в веб-директориях.