A Ivanti divulgou duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como
CVE-2026-1281
e
CVE-2026-1340
, que já vêm sendo exploradas em ataques zero-day.
Ambas são falhas do tipo code injection que permitem a invasores remotos executar código arbitrário nos dispositivos vulneráveis, sem necessidade de autenticação.
Com escore CVSS de 9,8, as vulnerabilidades são classificadas como críticas.
A empresa alerta que “apenas um número muito limitado de clientes teve suas soluções exploradas até o momento da divulgação”.
Para mitigar os riscos, a Ivanti disponibilizou scripts RPM para as versões afetadas do EPMM:
- Use RPM 12.x.0.x para as versões 12.5.0.x, 12.6.0.x e 12.7.0.x
- Use RPM 12.x.1.x para as versões 12.5.1.0 e 12.6.1.0
Segundo a Ivanti, não é necessário interromper o serviço para aplicar os patches, e não há impacto funcional esperado.
Por isso, a recomendação é aplicar as correções o quanto antes.
No entanto, a empresa ressalta que esses hotfixes são removidos após uma atualização de versão, exigindo reaplicação caso o sistema seja atualizado antes da disponibilização de uma correção definitiva.
A solução definitiva estará disponível na versão 12.8.0.0, prevista para o primeiro trimestre de 2026.
A exploração bem-sucedida dessas falhas permite que invasores executem código arbitrário no appliance EPMM, obtendo acesso a informações críticas da plataforma.
Entre os dados expostos estão nomes de administradores e usuários, e-mails e informações sobre dispositivos móveis gerenciados, como números de telefone, endereços IP, apps instalados e identificadores únicos (IMEI e endereços MAC).
Caso o rastreamento de localização esteja ativado, os invasores também podem obter dados de localização do dispositivo, incluindo coordenadas GPS e posições das torres celulares mais próximas.
Além disso, os atacantes podem utilizar a API ou o console web do EPMM para alterar configurações dos dispositivos, inclusive as de autenticação.
As vulnerabilidades são exploradas por meio de recursos do EPMM chamados In-House Application Distribution e Android File Transfer Configuration.
Tentativas ou ataques bem-sucedidos deixam rastros nos logs de acesso Apache em /var/log/httpd/https-access_log.
Para auxiliar na identificação de atividades suspeitas, a Ivanti disponibilizou uma expressão regular para análise dos logs.
Ela filtra entradas que correspondem a requisições externas (excluindo o tráfego local) a endpoints vulneráveis que retornam códigos HTTP 404.
Normalmente, esses endpoints respondem com status 200; portanto, erros 404 indicam tentativas de exploração, mesmo que não tenham sido bem-sucedidas.
Contudo, a Ivanti alerta que invasores podem alterar ou apagar logs para esconder seus rastros.
Por isso, se houver um sistema externo de armazenamento de logs, ele deve ser analisado preferencialmente.
Em caso de suspeita de comprometimento, a empresa recomenda não tentar limpar o sistema.
O ideal é restaurar o EPMM a partir de backup confiável feito antes da exploração ou reconstruir o appliance e migrar os dados para um novo sistema.
Após a recuperação, a Ivanti orienta as seguintes ações:
- Redefinir as senhas de todas as contas locais do EPMM.
- Redefinir as senhas das contas LDAP e/ou KDC usadas para consultas.
- Revogar e substituir os certificados públicos utilizados pelo EPMM.
- Alterar as senhas de quaisquer outras contas internas ou externas configuradas no ambiente do EPMM.
Embora as falhas afetem somente o Ivanti Endpoint Manager Mobile, a empresa recomenda revisar também os logs do Sentry, componente responsável por encaminhar o tráfego móvel para ativos internos da rede corporativa.
Isso porque, mesmo que o EPMM opere restrito em uma DMZ, o Sentry pode ser vetor para movimentações laterais.
A U.S.
Cybersecurity and Infrastructure Security Agency (CISA) incluiu a
CVE-2026-1281
em seu catálogo Known Exploited Vulnerabilities (KEV), confirmando a exploração ativa dessa falha.
Órgãos federais dos EUA têm até 1º de fevereiro de 2026 para aplicar as mitigações recomendadas ou descontinuar os sistemas vulneráveis, conforme Binding Operational Directive 22-01.
Não está claro por que apenas uma das vulnerabilidades foi listada no KEV, mas a Ivanti confirmou que ambas foram exploradas.
Vale lembrar que, em setembro, a CISA publicou análise sobre kits de malware usados em ataques contra outras duas falhas zero-day do Ivanti EPMM, corrigidas em maio de 2025, que também tiveram exploração ativa antes da publicação dos patches.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...