CISA 警告：Ivanti Endpoint Manager 身份验证绕过漏洞已被攻击者利用

Ivanti Endpoint Manager 的一个严重安全漏洞引起了联邦政府的关注，网络安全和基础设施安全局 (CISA) 于 2026 年 3 月 9 日将其添加到已知可利用漏洞 (KEV) 目录中。

该身份验证绕过漏洞编号为 CVE-2026-1603，影响 2024 年 SU5 版本之前的所有 Ivanti Endpoint Manager 版本，并允许远程未经身份验证的攻击者窃取存储的敏感凭据数据，而无需任何有效的登录凭据。

Ivanti Endpoint Manager（通常称为 EPM）是一个广泛部署的基于客户端的端点管理平台，组织机构使用该平台来管理和保护其网络中的大量设备。

由于该平台位于组织设备管理基础架构的核心位置，任何泄露其存储凭证的漏洞都可能造成深远的影响。

该漏洞被归类为 CWE-288，它描述了通过备用路径或通道绕过身份验证 ——这意味着该产品提供了一条辅助访问路径，完全跳过了正常的身份验证和验证过程。

CISA 分析师确认该漏洞已被积极利用，证实其对联邦机构和私营企业环境构成直接而严重的威胁。

该漏洞最初于 2024 年 11 月报告给 Ivanti，后来通过趋势科技的零日漏洞计划公开披露。该计划旨在研究软件漏洞并向供应商和更广泛的安全社区报告。

针对 KEV 漏洞清单，联邦民事行政部门（FCEB）已根据具有约束力的操作指令 BOD 22-01 向各机构发出正式指令，要求所有受影响的系统最迟于 2026 年 3 月 23 日完成全面修补。

CVE-2026-1603 的全部影响远不止于简单的数据泄露。研究人员证实，成功利用此漏洞可使攻击者直接访问 EPM 凭证库，从而窃取存储在管理系统中的域管理员密码哈希值和服务帐户凭证。

有了这些凭证，攻击者就可以在目标网络中横向移动，以最小的努力访问其他系统并提升权限。

该漏洞尤其令人担忧，因为它完全不需要任何事先身份验证——任何拥有对 EPM 管理服务器的网络级访问权限的攻击者都可以实施攻击。

攻击者如何利用身份验证绕过漏洞

CVE-2026-1603 的技术根源是 EPM 应用程序内特定端点的标头连接错误缺陷。

Ivanti EPM 中的某些 API 调用从未受到与软件其他部分相同的身份验证控制，留下了一条不受保护的访问路径，攻击者无需提交有效凭据即可使用该路径。

研究表明，这种攻击非常容易实施——攻击者只需发送一个精心构造的 HTTP 请求，其中包含一个被称为“魔数”的特定数值（整数 64），即可直接访问受保护的 EPM 端点，并提取与高权限帐户关联的加密凭证数据块。

这实际上破坏了企业赖以维护其设备生态系统安全的终端管理信任模型。

使用 Ivanti EPM 的组织应立即升级到 2024 SU5 版本，这是唯一修复了此缺陷的版本。

安全团队还应监控身份验证日志， 以发现对受保护资源的意外访问，并注意来自未知外部地址的异常 API 请求。

使用云部署的组织应遵循适用的 BOD 22-01 指南。如果无法采取任何缓解措施，CISA 建议停止使用该产品，直至部署补丁程序。