CISA додала критичну вразливість CVE-2026-1603 (CVSS 8.6) в Ivanti Endpoint Manager до каталогу (KEV). Вразливість дозволяє неавтентифікованому зловмиснику з мережевим доступом виконувати довільний код або отримувати підвищені привілеї через помилку в обробці вхідних даних у компоненті управління кінцевими точками. Ivanti випустила патч у лютому 2026 року в рамках Security Advisory EPM February 2026 для версії EPM 2024. Згідно з даними CISA та незалежних дослідників, вразливість вже експлуатується в реальних атаках для отримання початкового доступу до корпоративних мереж, розгортання малварі та ескалації привілеїв. Федеральні цивільні агентства США зобов’язані застосувати оновлення до 24 березня 2026 року. Ivanti Endpoint Manager використовується для управління патчами, розгортання ПЗ та моніторингу пристроїв у великих організаціях. Активна експлуатація підтверджена через сканування відкритих серверів та спроби використання вразливості для запуску shell-коду. Якщо система не оновлена, вона залишається вразливою до віддаленого захоплення контролю без взаємодії з користувачем.

Вразливість не вимагає автентифікації та працює через мережевий доступ до веб-інтерфейсу EPM. Дослідники Qualys та інші підтвердили, що атаки починаються з автоматизованого сканування на наявність вразливих інстансів, після чого відбувається спроба ін’єкції коду. CISA наголосила, що всі організації, які використовують Ivanti EPM, повинні негайно перевірити версії та застосувати патч, оскільки кількість спроб експлуатації зростає. Раніше подібні вразливості в Ivanti вже призводили до масових атак ransomware-груп.