Ivanti łata luki w Endpoint Manager: obejście uwierzytelniania (CVE-2026-1603) i SQLi (CVE-2026-1602) naprawione w EPM 2024 SU5 - Security Bez Tabu

Ivanti łata luki w Endpoint Manager: obejście uwierzytelniania (CVE-2026-1603) i SQLi (CVE-2026-1602) naprawione w EPM 2024 SU5

Wprowadzenie do problemu / definicja luki

Ivanti wydało aktualizację dla Ivanti Endpoint Manager (EPM), która adresuje ponad tuzin podatności – w tym dwie istotne z perspektywy obrony: obejście uwierzytelniania prowadzące do ujawnienia danych uwierzytelniających oraz SQL injection umożliwiające odczyt danych z bazy. Poprawki zostały dostarczone w wydaniu EPM 2024 SU5.

Kluczowa wartość tej aktualizacji jest praktyczna: luki dotyczą komponentu UEM (Unified Endpoint Management), który bywa eksponowany w sieci wewnętrznej (a czasem – błędnie – także publicznie). To czyni je atrakcyjnym celem do kradzieży poświadczeń, rekonesansu i potencjalnego łańcuchowania exploitów w stronę przejęcia środowiska.

W skrócie

  • CVE-2026-1603 (High): obejście uwierzytelniania, zdalnie i bez logowania, prowadzące do wycieku określonych przechowywanych danych poświadczeń.
  • CVE-2026-1602 (Medium): SQL injection, zdalnie, ale wymaga uwierzytelnienia; umożliwia odczyt dowolnych danych z bazy.
  • Poprawki dostarczono w Ivanti EPM 2024 SU5.
  • Ivanti oraz MS-ISAC/CIS wskazują, że brak jest doniesień o aktywnym wykorzystaniu tych konkretnych CVE w chwili publikacji.
  • Kontekst: część naprawianych problemów była wcześniej publicznie opisana przez Trend Micro Zero Day Initiative (ZDI) jako „0day” (w sensie: opublikowane przed pełną dostępnością poprawek).

Kontekst / historia / powiązania

SecurityWeek opisuje, że Ivanti „domyka” pulę podatności, o których głośno zrobiło się jesienią 2025 r. – w tym zestaw problemów ujawnionych publicznie przez ZDI.
Z perspektywy procesu koordynacji ujawnień ciekawy jest przykład ZDI-25-935, gdzie ZDI publikuje oś czasu: zgłoszenie do producenta, komunikacja o terminach oraz finalnie publiczny advisory (październik 2025) i informacja o wydaniu poprawki (listopad 2025) jako „mitigation”.

W lutowym cyklu aktualizacji Ivanti podkreśla też standardową praktykę publikacji poprawek (drugi wtorek miesiąca) oraz deklaruje brak dowodów na wykorzystanie opisywanej luki „in the wild” w momencie publikacji wpisu.

Analiza techniczna / szczegóły luki

CVE-2026-1603 — obejście uwierzytelniania i wyciek poświadczeń

Opis NVD jest jednoznaczny: podatność pozwala zdalnemu, nieuwierzytelnionemu atakującemu „leak specific stored credential data” w wersjach przed EPM 2024 SU5.
W praktyce oznacza to scenariusze, w których endpoint/serwis EPM udostępnia alternatywną ścieżkę/kanał dostępu do zasobu, omijając kontrolę logowania (NVD mapuje to do CWE-288).

Najważniejsze pytanie obronne brzmi: jakiego typu poświadczenia są „stored” w danej instancji (np. konta serwisowe, integracje, zaszyte hasła do repozytoriów/agentów, itp.) i czy ich wyciek umożliwi szybkie rozszerzenie dostępu w domenie.

CVE-2026-1602 — SQL injection i odczyt danych z bazy

MS-ISAC/CIS wskazuje, że SQLi dotyczy wersji przed 2024 SU5 i pozwala zdalnemu uwierzytelnionemu atakującemu na odczyt dowolnych danych z bazy.
To typ podatności, który często służy jako:

  • źródło wycieku danych konfiguracyjnych,
  • sposób na pozyskanie hashy/sekretów przechowywanych w DB,
  • element łańcucha do dalszych technik (np. eskalacji uprawnień lub przygotowania RCE – zależnie od architektury aplikacji i możliwości DB/ORM).

ZDI-25-935 (przykład z października 2025): Directory Traversal → RCE

ZDI opisuje konkretny flaw jako directory traversal w metodzie OnSaveToDB, skutkujący remote code execution. Wskazuje też, że bez interakcji użytkownika jest to możliwe, jeśli atakujący ma już „administrative credentials to the application”, a w przeciwnym razie wymagany jest element interakcji.
Ten kontekst jest istotny, bo pokazuje typowy wzorzec ryzyka dla systemów klasy EPM: poświadczenia + podatność aplikacyjna = szybka droga do przejęcia serwera zarządzającego i floty endpointów.

Praktyczne konsekwencje / ryzyko

  1. Kradzież poświadczeń (CVE-2026-1603) może przełożyć się na:
    • przejęcie kont serwisowych / integracyjnych,
    • pivot do innych systemów,
    • trwałą obecność w środowisku (np. poprzez nadużycie mechanizmów dystrybucji/zarządzania).
  2. Odczyt danych przez SQLi (CVE-2026-1602):
    • ryzyko wycieku danych o urządzeniach, użytkownikach, politykach,
    • możliwość wydobycia sekretów/konfiguracji, co często otwiera drogę do kolejnych etapów ataku.
  3. Ryzyko łańcuchowania: nawet jeśli pojedynczy błąd ma ograniczony wpływ (np. „tylko odczyt”), realne kampanie często łączą luki i błędy konfiguracyjne.

Warto też odnotować, że w chwili publikacji Ivanti i CIS nie raportują aktywnej eksploatacji tych konkretnych CVE w naturze, ale to nie jest gwarancja bezpieczeństwa — raczej krótka „cisza”, w której atakujący dopiero adaptują PoC.

Rekomendacje operacyjne / co zrobić teraz

  1. Aktualizacja: jeśli używasz Ivanti EPM, priorytetem jest przejście na EPM 2024 SU5 (albo nowsze, jeśli dostępne).
  2. Weryfikacja ekspozycji:
    • sprawdź, czy interfejsy EPM nie są wystawione do Internetu,
    • ogranicz dostęp sieciowo (VPN, segmentacja, allowlisty, reverse proxy/WAF).
  3. Higiena sekretów:
    • po aktualizacji rozważ rotację poświadczeń, które mogły być przechowywane/obsługiwane przez EPM (zwłaszcza konta serwisowe i integracje),
    • oceń, czy EPM ma dostęp do „crown jewels” (AD, repozytoria, systemy dystrybucji).
  4. Detekcja i monitoring:
    • skoncentruj logowanie na żądaniach do usług webowych EPM oraz anomaliach w dostępie do bazy,
    • zbuduj proste reguły: nietypowe endpointy, skoki wolumenu zapytań, próby enumeracji.
  5. Procesowo: CIS rekomenduje natychmiastowe zastosowanie poprawek po testach oraz dojrzały proces zarządzania podatnościami (cykliczne skany, remediacja, zasada najmniejszych uprawnień).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CVE-2026-1603 vs typowe „auth bypass”: tu kluczowe jest, że wektor jest zdalny i bez uwierzytelnienia oraz dotyczy wycieku przechowywanych poświadczeń, co w systemach zarządzania endpointami ma zwykle wyższą wagę niż „zwykły” wyciek danych o urządzeniach.
  • SQLi (CVE-2026-1602) bywa traktowane jako „średnie”, ale w praktyce często jest katalizatorem do kompromitacji (kradzież sekretów/konfiguracji), szczególnie gdy aplikacja trzyma w DB wrażliwe dane operacyjne.
  • W tle jest też kategoria błędów jak directory traversal → RCE (np. ZDI-25-935), która pokazuje, że w tej klasie produktów zdarzają się podatności umożliwiające znacznie głębsze przejęcie.

Podsumowanie / kluczowe wnioski

  • Ivanti załatało w EPM krytyczne dla obrony wektory: auth bypass z wyciekiem poświadczeń (CVE-2026-1603) oraz SQL injection (CVE-2026-1602).
  • Priorytetem jest aktualizacja do EPM 2024 SU5, a następnie weryfikacja ekspozycji, rotacja sekretów i wzmocnienie monitoringu.
  • Nawet przy braku potwierdzonej eksploatacji „in the wild” na dziś, to klasa luk, która zwykle szybko trafia do arsenału atakujących, bo dotyka narzędzia mającego szerokie uprawnienia w środowisku.

Źródła / bibliografia

  1. SecurityWeek – „Ivanti Patches Endpoint Manager Vulnerabilities Disclosed in October 2025” (11 lutego 2026). (SecurityWeek)
  2. NVD (NIST) – wpis dla CVE-2026-1603 (publikacja: 10 lutego 2026). (NVD)
  3. Center for Internet Security (CIS), MS-ISAC Advisory 2026-013 – podsumowanie CVE-2026-1603 i CVE-2026-1602 (10 lutego 2026). (CIS)
  4. Ivanti Blog – „February 2026 Security Update” (ostatnia aktualizacja: 10 lutego 2026). (ivanti.com)
  5. Trend Micro Zero Day Initiative – advisory ZDI-25-935 (16 października 2025). (zerodayinitiative.com)