Kritikus sebezhetőségek: mi történt?
A CVE-2026-1281 és CVE-2026-1340 azonosítóval ellátott hibák az Ivanti EPMM-et érintik, 9,8-as, csaknem maximális súlyossági pontszámmal. Mindkét sérülékenység távoli, hitelesítés nélküli kódfuttatást tesz lehetővé, vagyis a támadók mindenféle jogosultság nélkül képesek irányítást szerezni az érintett rendszeren. Fontos megjegyezni, hogy ezek a hibák kizárólag az EPMM-et érintik, más Ivanti-termékek – beleértve a felhőalapú megoldásokat is – nincsenek veszélyben.
Milyen adatok kerülhetnek veszélybe?
A támadók hozzáférhetnek az EPMM-adminisztrátorok és a készülékhasználók alapvető személyes adataihoz, a mobileszközök jellemzőihez (például telefonszámokhoz, GPS-helyadatokhoz), és akár adminisztrátori jogokat is szerezhetnek, amivel tetszőleges változtatásokat hajthatnak végre a rendszerben. Ennek következtében jelentős kockázatot jelent az ilyen sebezhetőség nagyvállalatoknál, ahol több ezer felhasználó mobilkészüléke csatlakozik a cég hálózatához.
Hogyan lehet azonosítani a támadást?
Az Ivanti nem tudott megbízható kompromittációs nyomokat adni, mivel csak kevés érintett ügyfélről van tudomása. Ugyanakkor kiemeli, hogy az Apache-hozzáférési naplók vizsgálatával lehet gyanús aktivitást detektálni – különösen az olyan funkcióknál, mint az In-House Application Distribution vagy az Android File Transfer Configuration. Ha a rendszer váratlanul sok 404-es hibakódot ad vissza, vagy furcsa GET-kérések érkeznek Bash-parancsokkal, ott érdemes gyanakodni. Továbbá gyanús lehet, ha ismeretlen WAR- vagy JAR-fájlok jelennek meg a rendszerben, vagy az EPMM váratlan hálózati kapcsolatokat kezdeményez.
Mi a teendő kompromittáció esetén?
Ha valaki a kompromittálódás jeleit találja, célszerű visszaállítani a rendszert mentésből, majd azonnal frissíteni a legújabb szoftververzióra. Ha a mentés nem megoldható, érdemes teljesen új EPMM-példányt telepíteni, és arra átmigrálni az adatokat.
Nincs idő késlekedni
Megbízható iparági források szerint az EPMM-et főként nagy értékű, kulcsfontosságú ágazatok használják, ezért különösen sürgős a védekezés. Több támadócsoport aktívan kihasználja ezeket a sebezhetőségeket, és akár hátsó kapukat is telepít a rendszerekre. Ennek alapján megállapítható, hogy aki nem javítja időben az EPMM-et, annál jelentős kockázat áll fenn – ilyenkor a teljes rendszer újratelepítése és az események kivizsgálása az egyetlen biztonságos lépés.
