Наблюдения от threat intelligence общността показват, че един-единствен изпълнител стои зад по-голямата част от активната експлоатация на две критични уязвимости в Ivanti Endpoint Manager Mobile (EPMM). Става дума за CVE-2026-21962 и CVE-2026-24061, които вече се използват в real-world zero-day атаки, потвърдени и от самия производител.

И двете уязвимости са с критична тежест и позволяват неавтентикирано инжектиране на код, водещо до remote code execution (RCE) върху уязвими системи – сценарий с директни последици за управлението на мобилни устройства и корпоративната сигурност.

Един IP адрес, 83% от атаките

Според анализ на threat-focused интернет интелигентната платформа GreyNoise, над 83% от експлоатационната активност срещу тези уязвимости произхожда от един IP адрес, разположен в т.нар. bulletproof инфраструктура.

• Общо наблюдавани експлоатационни сесии (1–9 февруари): 417

• Уникални източници: 8 IP адреса

• Доминиращ източник: 193.24.123.42 (AS200593)

Този адрес е хостван от PROSPERO OOO, автономна система, която анализатори от Censys определят като bulletproof AS, често използвана за масови атаки срещу различни софтуерни продукти.

На 8 февруари е регистриран рязък пик – 269 сесии за един ден, почти 13 пъти над средното дневно ниво.

Ясни признаци за initial access broker активност

От всички 417 сесии:

• 354 (85%) използват OAST-базирани DNS callbacks, за да проверят дали командното изпълнение е успешно.

Този модел е типичен за initial access broker-и – оператори, които автоматизирано компрометират системи, за да продават или използват по-късно достъпа.

Активността е напълно автоматизирана, с ротация на над 300 различни user agent-а, което допълнително затруднява традиционните защитни механизми.

Не само Ivanti: по-широка експлоатационна кампания

Същият IP адрес не се ограничава само до Ivanti EPMM. Паралелно са експлоатирани още няколко уязвимости, включително:

• Уязвимост в Oracle WebLogic – 2 902 сесии

• Уязвимост в GNU Inetutils Telnetd – 497 сесии

• CVE-2025-24799 в GLPI

Това показва масова, мултипродуктова кампания, а не изолиран инцидент, насочен към конкретен доставчик.

Особено тревожно е, че доминиращият IP адрес не фигурира в широко разпространените IOC списъци, което означава, че организации, разчитащи само на публични индикатори, пропускат основния източник на атаки.

Какво предлага Ivanti – и какви са ограниченията

Ivanti вече публикува временни hotfix решения, но подчертава, че те не са окончателни. Пълните корекции се очакват с излизането на EPMM версия 12.8.0.0 през първото тримесечие на годината.

До тогава препоръките включват:

• Използване на специфични RPM пакети според версията на EPMM

• Най-консервативният подход – изграждане на изцяло нов EPMM инстанс и миграция на данните

Позицията на производителя

Ivanti подчертава, че:

• Незабавното пачване е най-ефективната мярка, независимо как се променят IOC-ите

• Пачът се прилага без прекъсване на услугата и отнема секунди

• Клиентите разполагат с детайлни технически анализи, индикатори за компрометиране и скрипт за откриване на експлоатация, разработен съвместно с NCSC NL