„Ivanti“ EPMM nulinės dienos spragos: „miegančios“ užpakalinės durys

Kritinės „Ivanti“ EPMM pažeidžiamumo spragos CVE-2026-1281 ir CVE-2026-1340 aktyviai išnaudojamos – programišiai diegia „miegančias“ užpakalines duris Europos vyriausybių ir organizacijų mobiliųjų įrenginių valdymo sistemose. 83 % atakų siejama su vienu IP adresu neperšaunamoje prieglobos infrastruktūroje.

Kritinės „Ivanti" EPMM spragos tampa kibernetinių nusikaltėlių taikiniu

2026 metų vasario pradžioje kibernetinio saugumo bendruomenę sukrėtė agresyvi atakų kampanija, nukreipta prieš „Ivanti Endpoint Manager Mobile" (EPMM) – įmonėms skirtą mobiliųjų įrenginių valdymo platformą, anksčiau žinomą kaip „MobileIron Core". Du kritiniai pažeidžiamumai – CVE-2026-1281 ir CVE-2026-1340 – leidžia neautentifikuotiems užpuolikams vykdyti nuotolinį kodo paleidimą (RCE), o jų kritinis CVSS įvertis siekia 9,8 iš 10.

Situacijos rimtumą pabrėžia tai, kad tarp patvirtintų aukų jau yra Europos vyriausybinės institucijos, o programišiai naudoja itin sofistikuotą „miegančių" užpakalinių durų techniką, leidžiančią ilgą laiką likti nepastebėtiems.

Kaip veikia ataka: nuo HTTP užklausos iki visiškos sistemos kontrolės

Abu pažeidžiamumai susijęsu kodo injekcijos spraga „Ivanti" EPMM platformoje. Užpuolikai gali pateikti kenkėjiškas Bash komandas kaip HTTP GET užklausos dalį, nukreiptą į du pažeidžiamus galutinius taškus:

/mifs/c/appstore/fob/ – vidinių programų platinimo funkcija
/mifs/c/aftstore/fob/ – „Android" failų perkėlimo konfigūracija

Sėkminga šių galutinių taškų eksploatacija suteikia užpuolikui galimybę vykdyti bet kokias operacinės sistemos komandas tiesiogiai serveryje – be jokio autentifikacijos reikalavimo. Tai reiškia, kad bet kuris asmuo, turintis prieigą prie internetu pasiekiamo EPMM egzemplioriaus, gali perimti visišką sistemos kontrolę.

„Miegančios" užpakalinės durys – nauja grėsmių lygmens taktika

Ypač nerimą kelia „Defused Cyber" tyrėjų vasario 9 dieną atskleista informacija apie „miegančių" žiniatinklio apvalkalų (webshell) diegimo kampaniją. Užpuolikai, įtariami esantys pradinio prieigos brokeriai (angl. Initial Access Broker), nesinaudoja kompromituotomis sistemomis tiesiogiai – vietoje to jie diegia neaktyvius kenkėjiškus komponentus, kurie gali būti aktyvuoti vėliau.

Techniškai tai veikia taip:

Kompromituotose EPMM sistemose diegiami atmintyje veikiantys „Java" klasių įkrovikliai (in-memory Java class loaders) keliu /mifs/403.jsp
Šie „miegantys" apvalkalai yra neaktyvūs iki tol, kol negauna specialaus aktyvacijos parametro
Prieš diegiant užpakalines duris, užpuolikai pirmiausia per DNS atgalinius skambučius patvirtina, kad sistema yra pažeidžiama
85 % eksploatacijos sesijų naudojo DNS beaconus – tai reiškia, kad daugeliu atvejų užpuolikai tik „žymėjo" pažeidžiamas sistemas, nediegdami kenkėjiškos programinės įrangos iš karto

Ši taktika itin pavojinga, nes „miegančios" užpakalinės durys gali likti nepastebėtos dienomis ar net savaitėmis, kol bus aktyvuotos tikslinei atakai. Be to, skirtingi grėsmių veikėjai gali „pirkti" prieigą prie jau kompromituotų sistemų iš pradinio prieigos brokerio.

Atakos mastai: 417 sesijų, 83 % iš vieno IP adreso

Grėsmių žvalgybos įmonė „GreyNoise" užfiksavo 417 eksploatacijos sesijų laikotarpiu nuo vasario 1 iki 9 dienos, kilusių iš 8 unikalių šaltinio IP adresų. Tačiau labiausiai stebina tai, kad net 346 sesijos (83 %) buvo susietos su vienu IP adresu – 193.24.123[.]42.

Šis IP adresas priklauso PROSPERO vadinamajai „neperšaunamai" prieglobos infrastruktūrai (AS200593), kuri siejama su „Proton66" – tinklu, istoriškai naudotu platinti tokias kenkėjiškas programas kaip „GootLoader", „Matanbuchus", „SpyNote" ir „SocGholish".

Užpuolikai naudojo daugiau nei 300 unikalių naršyklės identifikavimo eilučių (user agent strings), apimančių „Chrome", „Firefox", „Safari" ir įvairias operacinių sistemų variacijas – tai rodo automatizuotų įrankių naudojimą.

„Shadowserver" organizacija nustatė 92 kompromituotus EPMM egzempliorius ir perspėjo, kad šis skaičius tikėtina didės dėl masinės atakų kampanijos pobūdžio.

Vyriausybės ir institucijos – pagrindiniai taikiniai

EPMM pažeidžiamumų išnaudojimas turi ypatingą reikšmę, nes ši platforma naudojama valdyti mobiliuosius įrenginius didelėse organizacijose. Kompromituota EPMM sistema suteikia prieigą prie visos organizacijos įrenginių valdymo infrastruktūros, leidžiant apeiti tradicinį tinklo segmentavimą.

Tarp patvirtintų aukų yra:

Nyderlandų duomenų apsaugos institucija (Autoriteit Persoonsgegevens) – atsakinga už BDAR įgyvendinimą šalyje
Nyderlandų teismų taryba (Raad voor de Rechtspraak)
Europos Komisijos mobiliųjų įrenginių valdymo platforma
„Valtori" – Suomijos centrinės vyriausybės IKT paslaugų centras

Potencialus poveikis apima prieigą prie asmeninio identifikavimo informacijos (PII), saugomos valdymo sistemoje, taip pat įrenginių metaduomenų, įskaitant telefono numerius, GPS informaciją ir konfigūracijos detales. Tokie duomenys gali būti panaudoti tolimesnėms tikslinėms atakoms arba žvalgybos tikslais.

Platesnio masto automatizuota kampanija

Tyrėjai atkreipė dėmesį, kad tas pats užpuolikas vienu metu eksploatavo keturis nesusijusius programinės įrangos pažeidžiamumus, o tai rodo labai organizuotą ir automatizuotą veiklą:

„Oracle WebLogic" (CVE-2026-21962) – 2 902 sesijos
„GNU InetUtils telnetd" (CVE-2026-24061) – 497 sesijos
GLPI (CVE-2025-24799) – 200 sesijų
„Ivanti" EPMM (CVE-2026-1281) – 417 sesijų

Ši informacija rodo, kad „Ivanti" EPMM eksploatacija yra tik dalis didesnės, koordinuotos kampanijos, nukreiptos prieš įvairias įmonių infrastruktūros sistemas.

Ką daryti organizacijoms: skubūs veiksmai

Kibernetinio saugumo ekspertai ragina organizacijas, naudojančias „Ivanti" EPMM, imtis neatidėliotinų veiksmų:

Nedelsiant pritaikyti pataisymus – „Ivanti" sausio 29 d. išleido laikinus RPM pataisymus, o vasario 4 d. paskelbė pilnus saugumo atnaujinimus. Pataisymai nereikalauja sistemos prastovos
Perkrauti programų serverius – tai būtina norint pašalinti atmintyje esančius kenkėjiškus komponentus, kurie nepastebimi failų sistemos skenavimo metu
Audituoti internetu pasiekiamą MDM infrastruktūrą – patikrinti, ar EPMM egzemplioriai nėra tiesiogiai prieinami iš interneto
Peržiūrėti DNS žurnalus – ieškoti neįprastų DNS užklausų, kurios gali rodyti eksploatacijos bandymus
Stebėti /mifs/403.jsp kelią – šis kelias naudojamas „miegančių" apvalkalų diegimui
Blokuoti AS200593 – uždrausti srautą iš PROSPERO neperšaunamos prieglobos tinklo perimetro lygmeniu

JAV Kibernetinio ir infrastruktūros saugumo agentūra (CISA) jau sausio 29 dieną įtraukė šiuos pažeidžiamumus į Žinomų išnaudojamų pažeidžiamumų katalogą, įpareigodama federalines agentūras nedelsiant imtis apsaugos priemonių.

Pamokos ir perspektyvos

„Ivanti" EPMM incidentas dar kartą patvirtina, kad mobiliųjų įrenginių valdymo (MDM) platformos tampa vis patrauklesniu taikiniu kibernetiniams nusikaltėliams. Šios sistemos yra kritiniai infrastruktūros elementai, suteikiantys centralizuotą prieigą prie tūkstančių įrenginių – jų kompromitavimas atveria duris visai organizacijos skaitmeninei ekosistemai.

„Miegančių" užpakalinių durų taktika signalizuoja apie augantį pradinio prieigos brokerių vaidmenį kibernetinių nusikaltimų ekonomikoje. Užuot patys vykdę atakas, šie veikėjai „paruošia" kompromituotas sistemas ir parduoda prieigą kitiems – dažnai šantažo programų grupuotėms ar valstybių remiamiems programišiams.

Organizacijoms, naudojančioms bet kokią MDM platformą, šis incidentas turėtų būti rimtas perspėjimas: reguliarus pažeidžiamumų valdymas, tinklo segmentavimas ir nuolatinis stebėjimas nėra prabanga, o būtinybė.

„Ivanti“ EPMM nulinės dienos spragos: programišiai diegia „miegančias“ užpakalines duris vyriausybių sistemose