CVE-2026-1603

Ivanti Endpoint Manager (EPM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-03-09

Официальное описание

Ivanti Endpoint Manager (EPM) contains an authentication bypass using an alternate path or channel vulnerability that could allow a remote unauthenticated attacker to leak specific stored credential data.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2026-1603 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в Ivanti Endpoint Manager (EPM). Проблема заключается в использовании альтернативного пути или канала (Alternate Path or Channel), что позволяет удаленному неавторизованному злоумышленнику получить доступ к защищенным ресурсам.

Основная опасность заключается в возможности утечки специфических сохраненных учетных данных (stored credential data). Злоумышленник может эксплуатировать этот недостаток без наличия валидной учетной записи в системе, что создает риск полной компрометации инфраструктуры, управляемой через EPM.

Как исправить

Основным методом устранения уязвимости является установка официального обновления безопасности (Security Hotfix) или переход на версию продукта, в которой данная ошибка исправлена.

  1. Определите текущую версию Ivanti EPM через консоль управления (Help -> About).
  2. Скачайте соответствующий патч с официального портала Ivanti (Ivanti Community).
  3. Перед установкой создайте резервную копию базы данных и снимок (snapshot) сервера Core Server.
  4. Запустите инсталлятор обновления на Core Server от имени администратора.
  5. После завершения установки выполните перезагрузку сервера.

Для проверки корректности установки патча в PowerShell:

Get-ItemProperty -Path "HKLM:\SOFTWARE\LANDesk\ManagementSuite\Setup" -Name "Version"

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать поверхность атаки и ограничить доступ к критическим компонентам системы.

  1. Ограничьте доступ к веб-консоли и API Ivanti EPM на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов.
  2. Настройте блокировку доступа к специфическим путям на уровне IIS (Internet Information Services), если известны конкретные эндпоинты, используемые для обхода.
  3. Включите расширенное логирование IIS для мониторинга аномальных запросов (HTTP 200 на нетипичных путях).
  4. Изолируйте Core Server в отдельный сегмент сети (VLAN) с жестким контролем входящего трафика.

Команда для проверки активных сессий и подозрительных подключений к серверу:

Get-NetTCPConnection -LocalPort 443, 80 | Where-Object { $_.State -eq 'Established' }
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей