Ivanti aktív kihasználása egyetlen bulletproof IP-hez köthető
A GreyNoise elemzése szerint aktív, automatizált kihasználási hullám zajlik a Ivanti VPN- és router megoldásait érintő ismert sebezhetőségek ellen, amelyek közül több (CVE-2026-1281 CVSS 9.8) hitelesítés megkerülését és távoli kódfuttatást tesz lehetővé. A támadók nagyrészt nem célzott műveleteket folytatnak, hanem széles körű szkenneléssel keresik az internetre kitett, nem frissített rendszereket, majd automatizált exploit-kísérleteket indítanak ellenük.
A jelentés külön kiemeli, hogy ezek az Ivanti-eszközök nemcsak vállalati IT-környezetekben, hanem az európai mobiltelefon-hálózatok ökoszisztémájában is megjelennek, például távmenedzsment, beszállítói hozzáférés vagy hálózati integrációs pontok részeként. Emiatt egy sikeres kompromittálás nemcsak vállalati adatvesztést, hanem mobilhálózati szolgáltatásokhoz kapcsolódó kockázatokat is jelenthet, beleértve az oldalsó mozgást érzékeny távközlési infrastruktúra irányába.
A GreyNoise értékelése szerint a fenyegetés súlyát az adja, hogy a támadások folyamatosak, globálisak és alacsony belépési küszöbűek, miközben az érintett rendszerek gyakran kritikus összekötő szerepet töltenek be az EU digitális és mobilkommunikációs környezetében. A legnagyobb kockázatot továbbra is az elmaradt frissítések, a nyilvánosan elérhető adminfelületek és a nem megfelelő hálózati szegmentáció jelentik, különösen ott, ahol az Ivanti-eszközök közvetlenül vagy közvetve mobilhálózati funkciókhoz kapcsolódnak.
FRISSÍTÉS:
Az Ivanti kiadott javításokat több kritikus sebezhetőségre az Endpoint Manager termékében, amelyek korábban az 2025 októberében nyilvánosságra hozott CVE-kben szerepeltek. A frissítésekkel az Ivanti szigorúbb input-ellenőrzést és aktualizált aláírásokat vezetett be, hogy a támadók ne tudják kihasználni ezeket a hibákat, miközben erősíti az adminisztratív felületek védelmét is.
