Один злоумышленник ответственен за 83% недавних атак с использованием Ivanti RCE
Добавлено: 16 фев 2026, 12:47
По данным анализа угроз, один злоумышленник ответственен за большинство активных атак, использующих две критические уязвимости в Ivanti Endpoint Manager Mobile (EPMM), отслеживаемые как CVE-2026-21962 и CVE-2026-24061.
Эти проблемы безопасности были отмечены как активно используемые в атаках нулевого дня в рекомендациях Ivanti по безопасности, где компания также объявила о выпуске исправлений.
Обе уязвимости получили оценку критической степени серьезности и позволяют злоумышленнику внедрить код без аутентификации, что приводит к удаленному выполнению кода (RCE) на уязвимых системах.
По данным компании GreyNoise, специализирующейся на анализе угроз в Интернете, один IP-адрес, размещенный на буллетпруф инфраструктуре, ответственен за более 83% случаев использования двух уязвимостей.
С 1 по 9 февраля платформа мониторинга зафиксировала 417 сеансов использования уязвимостей, исходящих из 8 уникальных IP-адресов и сосредоточенных на CVE-2026-21962 и CVE-2026-24061.
Наибольший объем, 83%, приходится на 193[.]24[.]123[.]42, хостинг провайдера PROSPERO OOO (AS200593), который аналитики Censys отметили как буллетпруф автономную систему, используемую для атак на различные программные продукты.
IP-адреса источников атак
Резкий скачок произошел 8 февраля, когда за один день было зарегистрировано 269 сеансов. По данным GreyNoise, эта цифра почти в 13 раз превышает среднесуточный показатель в 22 сеанса.
Из 417 сеансов эксплуатации в 354 (85 %) использовались обратные вызовы DNS в стиле OAST для проверки возможности выполнения команд, что указывает на деятельность брокера первоначального доступа.
Интересно, что несколько опубликованных индикаторов компрометации (IoC) включают IP-адреса Windscribe VPN (185[.]212[.]171[.]0/24), присутствующие в телеметрии GreyNoise как сканирующие экземпляры Oracle WebLogic, но без деятельности по эксплуатации Ivanti.
Исследователи отмечают, что IP-адрес PROSPERO OOO, который они видели, "не входит в широко публикуемые списки IOC, а это означает, что защитники, блокирующие только опубликованные индикаторы, вероятно, упускают из виду доминирующий источник эксплуатации."
Этот IP-адрес не ограничивается атаками на Ivanti, поскольку он одновременно эксплуатировал еще три уязвимости: CVE-2026-21962 в Oracle WebLogic, CVE-2026-24061 в GNU Inetutils Telnetd и CVE-2025-24799 в GLPI.
Уязвимость Oracle WebLogic заняла львиную долю в объеме сеансов, превосходя остальные с 2902 сеансами, за ней следует проблема Telnetd с 497 сеансами.
Эксплуатация уязвимостей, по-видимому, полностью автоматизирована и осуществляется поочередно тремя сотнями пользовательских агентов.
Таргетируемые уязвимости
Исправления Ivanti для CVE-2026-1281 и CVE-2026-1340 не являются постоянными. Компания пообещала выпустить полные патчи в первом квартале этого года, вместе с выпуском EPMM версии 12.8.0.0.
До тех пор рекомендуется использовать пакеты RPM 12.x.0.x для версий EPMM 12.5.0.x, 12.6.0.x и 12.7.0.x, а также RPM 12.x.1.x для версий EPMM 12.5.1.0 и 12.6.1.0.
Поставщик отмечает, что наиболее консервативный подход заключается в создании замены экземпляра EPMM и переносе всех данных туда. Инструкции по выполнению этой операции доступны здесь.
Эти проблемы безопасности были отмечены как активно используемые в атаках нулевого дня в рекомендациях Ivanti по безопасности, где компания также объявила о выпуске исправлений.
Обе уязвимости получили оценку критической степени серьезности и позволяют злоумышленнику внедрить код без аутентификации, что приводит к удаленному выполнению кода (RCE) на уязвимых системах.
По данным компании GreyNoise, специализирующейся на анализе угроз в Интернете, один IP-адрес, размещенный на буллетпруф инфраструктуре, ответственен за более 83% случаев использования двух уязвимостей.
С 1 по 9 февраля платформа мониторинга зафиксировала 417 сеансов использования уязвимостей, исходящих из 8 уникальных IP-адресов и сосредоточенных на CVE-2026-21962 и CVE-2026-24061.
Наибольший объем, 83%, приходится на 193[.]24[.]123[.]42, хостинг провайдера PROSPERO OOO (AS200593), который аналитики Censys отметили как буллетпруф автономную систему, используемую для атак на различные программные продукты.
Резкий скачок произошел 8 февраля, когда за один день было зарегистрировано 269 сеансов. По данным GreyNoise, эта цифра почти в 13 раз превышает среднесуточный показатель в 22 сеанса.
Из 417 сеансов эксплуатации в 354 (85 %) использовались обратные вызовы DNS в стиле OAST для проверки возможности выполнения команд, что указывает на деятельность брокера первоначального доступа.
Интересно, что несколько опубликованных индикаторов компрометации (IoC) включают IP-адреса Windscribe VPN (185[.]212[.]171[.]0/24), присутствующие в телеметрии GreyNoise как сканирующие экземпляры Oracle WebLogic, но без деятельности по эксплуатации Ivanti.
Исследователи отмечают, что IP-адрес PROSPERO OOO, который они видели, "не входит в широко публикуемые списки IOC, а это означает, что защитники, блокирующие только опубликованные индикаторы, вероятно, упускают из виду доминирующий источник эксплуатации."
Этот IP-адрес не ограничивается атаками на Ivanti, поскольку он одновременно эксплуатировал еще три уязвимости: CVE-2026-21962 в Oracle WebLogic, CVE-2026-24061 в GNU Inetutils Telnetd и CVE-2025-24799 в GLPI.
Уязвимость Oracle WebLogic заняла львиную долю в объеме сеансов, превосходя остальные с 2902 сеансами, за ней следует проблема Telnetd с 497 сеансами.
Эксплуатация уязвимостей, по-видимому, полностью автоматизирована и осуществляется поочередно тремя сотнями пользовательских агентов.
Исправления Ivanti для CVE-2026-1281 и CVE-2026-1340 не являются постоянными. Компания пообещала выпустить полные патчи в первом квартале этого года, вместе с выпуском EPMM версии 12.8.0.0.
До тех пор рекомендуется использовать пакеты RPM 12.x.0.x для версий EPMM 12.5.0.x, 12.6.0.x и 12.7.0.x, а также RPM 12.x.1.x для версий EPMM 12.5.1.0 и 12.6.1.0.
Поставщик отмечает, что наиболее консервативный подход заключается в создании замены экземпляра EPMM и переносе всех данных туда. Инструкции по выполнению этой операции доступны здесь.