Ένα σοβαρό ελάττωμα ασφαλείας στο Ivanti Endpoint Manager έχει τραβήξει την ομοσπονδιακή προσοχή αφού ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) το πρόσθεσε στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV) στις 9 Μαρτίου 2026.
Παρακολούθηση ως CVE-2026-1603, αυτή η ευπάθεια παράκαμψης ελέγχου ταυτότητας επηρεάζει όλες τις εκδόσεις του Ivanti Endpoint Manager πριν από την κυκλοφορία του SU5 του 2024 και επιτρέπει σε έναν απομακρυσμένο, μη πιστοποιημένο εισβολέα να κλέψει ευαίσθητα αποθηκευμένα δεδομένα διαπιστευτηρίων χωρίς να απαιτεί καμία μορφή έγκυρων πιστοποιητικών σύνδεσης.
Το Ivanti Endpoint Manager, που συνήθως αναφέρεται ως EPM, είναι μια ευρέως αναπτυγμένη πλατφόρμα διαχείρισης τελικών σημείων που βασίζεται σε πελάτες που χρησιμοποιούν οι οργανισμοί για τη διαχείριση και την ασφάλεια μεγάλων στόλων συσκευών στα δίκτυά τους.
Δεδομένου ότι η πλατφόρμα βρίσκεται στο επίκεντρο της υποδομής διαχείρισης συσκευών ενός οργανισμού, κάθε ελάττωμα που εκθέτει τα αποθηκευμένα διαπιστευτήριά του μπορεί να έχει εκτεταμένες συνέπειες.
Το θέμα ευπάθειας ταξινομείται στο CWE-288, το οποίο περιγράφει ένα παράκαμψη ελέγχου ταυτότητας μέσω μιας εναλλακτικής διαδρομής ή καναλιού — που σημαίνει ότι το προϊόν παρέχει μια δευτερεύουσα διαδρομή πρόσβασης που παρακάμπτει εντελώς την κανονική διαδικασία ελέγχου ταυτότητας και επαλήθευσης.
Οι αναλυτές της CISA εντόπισαν αυτήν την ευπάθεια όπως εκμεταλλεύεται ενεργά στη φύση, επιβεβαιώνοντας ότι αποτελεί άμεση και σοβαρή απειλή τόσο για τις ομοσπονδιακές υπηρεσίες όσο και για το περιβάλλον των ιδιωτικών επιχειρήσεων.
Το ελάττωμα αναφέρθηκε αρχικά στην Ivanti τον Νοέμβριο του 2024 και αργότερα αποκαλύφθηκε δημόσια μέσω του Trend Micro’s Zero Day Initiative, ενός προγράμματος που ερευνά και αναφέρει ευπάθειες λογισμικού στους προμηθευτές και στην ευρύτερη κοινότητα ασφαλείας.
| Πεδίο | Λεπτομέρεια |
|---|---|
| Αναγνωριστικό CVE | CVE-2026-1603 |
| Πωλητής / Προϊόν | Ivanti / Διαχειριστής Τελικού Σημείου (EPM) |
| Τύπος ευπάθειας | Παράκαμψη ελέγχου ταυτότητας με χρήση εναλλακτικής διαδρομής ή καναλιού |
| Ταξινόμηση CWE | CWE-288 |
| Επηρεασμένες εκδόσεις | Εκδόσεις Ivanti EPM πριν από το 2024 SU5 |
| Ενημερωμένη έκδοση | Ivanti EPM 2024 SU5 |
| Προστέθηκε CISA KEV | 9 Μαρτίου 2026 |
| Οφειλόμενη ενημέρωση κώδικα FCEB | 23 Μαρτίου 2026 |
| Κατάσταση εκμετάλλευσης | Εκμεταλλεύεται ενεργά στη φύση |
| Χρήση Ransomware | Αγνωστος |
| Διάνυσμα επίθεσης | Απομακρυσμένη, μη επαληθευμένη πρόσβαση στο δίκτυο |
| Σύγκρουση | Διαρροή διαπιστευτηρίων, πλευρική κίνηση, κλιμάκωση προνομίων |
| Σχετικό CVE | CVE-2026-1602 (SQL Injection — αλυσιδωτή εκμετάλλευση) |
Ως απόκριση στην καταχώριση KEV, οι υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου (FCEB) έχουν εκδώσει επίσημη οδηγία βάσει της δεσμευτικής επιχειρησιακής οδηγίας BOD 22-01, η οποία απαιτεί την πλήρη ενημέρωση όλων των επηρεαζόμενων συστημάτων το αργότερο έως τις 23 Μαρτίου 2026.
Ο πλήρης αντίκτυπος του CVE-2026-1603 εκτείνεται πολύ πέρα από μια απλή έκθεση δεδομένων. Οι ερευνητές επιβεβαίωσαν ότι η επιτυχής εκμετάλλευση παρέχει σε έναν εισβολέα άμεση πρόσβαση στο EPM Credential Vault, επιτρέποντας την κλοπή κατακερματισμών κωδικού πρόσβασης διαχειριστή τομέα και διαπιστευτηρίων λογαριασμού υπηρεσίας που είναι αποθηκευμένα στο σύστημα διαχείρισης.
Οπλισμένος με αυτά τα διαπιστευτήρια, ένας εισβολέας μπορεί να κινηθεί πλευρικά στο δίκτυο-στόχο, αποκτώντας πρόσβαση σε πρόσθετα συστήματα και αυξάνοντας τα προνόμια με ελάχιστη προσπάθεια.
Η ευπάθεια είναι ιδιαίτερα ανησυχητική επειδή δεν απαιτεί κανένα προηγούμενο έλεγχο ταυτότητας — κάθε εισβολέας με πρόσβαση σε επίπεδο δικτύου στον διακομιστή διαχείρισης EPM μπορεί να πραγματοποιήσει την επίθεση.
Πώς οι εισβολείς εκμεταλλεύονται την παράκαμψη ελέγχου ταυτότητας
Η τεχνική πηγή του CVE-2026-1603 είναι ένα ελάττωμα σύνδεσης κεφαλίδας με κακή μορφή σε ένα συγκεκριμένο τελικό σημείο εντός της εφαρμογής EPM.
Ορισμένες κλήσεις API στο Ivanti EPM δεν υποβλήθηκαν ποτέ στους ίδιους ελέγχους ελέγχου ταυτότητας που διέπουν το υπόλοιπο λογισμικό, αφήνοντας μια αφύλακτη διαδρομή πρόσβασης που μπορούν να χρησιμοποιήσουν οι εισβολείς χωρίς να υποβάλουν ποτέ έγκυρα διαπιστευτήρια.
Η έρευνα αποκάλυψε ότι το exploit είναι εκπληκτικά εύκολο στην εκτέλεση — στέλνοντας ένα επεξεργασμένο αίτημα HTTP που περιλαμβάνει μια συγκεκριμένη αριθμητική τιμή γνωστή ως μαγικός αριθμός, τον ακέραιο 64, ένας εισβολέας μπορεί να φτάσει απευθείας σε προστατευμένα τελικά σημεία EPM και να τραβήξει κρυπτογραφημένες σταγόνες διαπιστευτηρίων που σχετίζονται με λογαριασμούς υψηλού προνομίου.
Αυτό καταστρέφει αποτελεσματικά το μοντέλο εμπιστοσύνης διαχείρισης τελικού σημείου από το οποίο εξαρτώνται οι επιχειρήσεις για να διατηρήσουν τα οικοσυστήματα των συσκευών τους ασφαλή.
Επιπλέον, το CVE-2026-1603 μπορεί να συνδεθεί με μια συνοδευτική ευπάθεια SQL injection, το CVE-2026-1602, το οποίο επιτρέπει σε έναν επιτιθέμενο ξεχωριστά πιστοποιημένο να διαβάζει αυθαίρετες εγγραφές από τη βάση δεδομένων EPM – καθιστώντας τη συνδυασμένη εκμετάλλευση ένα ιδιαίτερα σοβαρό και ρεαλιστικό σενάριο απειλής.
Οι οργανισμοί που εκτελούν το Ivanti EPM θα πρέπει να αναβαθμίσουν αμέσως στην έκδοση 2024 SU5, τη μοναδική έκδοση στην οποία έχει αντιμετωπιστεί αυτό το ελάττωμα.
Για τις ομάδες που δεν μπορούν να εφαρμόσουν την ενημέρωση κώδικα αμέσως, η CISA συνιστά τον αποκλεισμό της εξωτερικής πρόσβασης στο Διαδίκτυο στις θύρες διαχείρισης EPM 80 και 443 και την επιβολή αυστηρής λίστας επιτρεπόμενων IP, ώστε μόνο αξιόπιστοι διαχειριστές κεντρικών υπολογιστών να μπορούν να επικοινωνούν με τον διακομιστή.
Οι ομάδες ασφαλείας θα πρέπει επίσης να παρακολουθούν τα αρχεία καταγραφής ελέγχου ταυτότητας για μη αναμενόμενη πρόσβαση σε προστατευμένους πόρους και να παρακολουθούν για ασυνήθιστα αιτήματα API από άγνωστες εξωτερικές διευθύνσεις.
Οι οργανισμοί που χρησιμοποιούν αναπτύξεις που βασίζονται σε σύννεφο καλούνται να ακολουθήσουν τις ισχύουσες οδηγίες BOD 22-01. Όταν δεν είναι εφικτά μέτρα μετριασμού, η CISA συμβουλεύει τη διακοπή της χρήσης του προϊόντος μέχρι να αναπτυχθεί ένα έμπλαστρο.
