Duas vulnerabilidades de execução remota de código (RCE) de dia zero no Ivanti EPMM foram exploradas ativamente; atualizações de segurança foram lançadas.

A Ivanti confirmou a existência de duas vulnerabilidades críticas do tipo zero-day em seu software Endpoint Manager Mobile (EPMM), amplamente utilizado na administração de dispositivos móveis corporativos. Além disso, o cenário se torna ainda mais preocupante porque as falhas já estavam sendo exploradas antes da divulgação pública, o que aumenta significativamente o risco para ambientes empresariais.

Essas vulnerabilidades permitem a execução remota de código sem autenticação. Em outras palavras, um invasor consegue comprometer o servidor sem precisar de credenciais válidas. Por esse motivo, ambas receberam pontuação CVSS 9.8, que indica severidade máxima, e foram registradas como CVE-2026-1281 e CVE-2026-1340.

• Leia também: YouTube voltou a falhar para quem usa bloqueador de anúncios: o que está acontecendo e como resolver
• Leia também: WhatsApp agora tem “configurações rigorosas” contra hackers
• Leia também: O Grupo Mustang Panda implanta backdoor COOLCLIENT atualizado em ataques cibernéticos contra governos

As vulnerabilidades de gravidade crítica estão listadas abaixo –

• CVE-2026-1281 (pontuação CVSS: 9,8) – Uma vulnerabilidade de injeção de código que permite aos atacantes executar código remotamente sem autenticação.
• CVE-2026-1340 (pontuação CVSS: 9,8) – Uma vulnerabilidade de injeção de código que permite aos atacantes executar código remotamente sem autenticação.

Elas afetam as seguintes versões –

• EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores, e 12.7.0.0 e anteriores (Corrigido no RPM 12.x.0.x)
• EPMM 12.5.1.0 e versões anteriores e 12.6.1.0 e versões anteriores (Corrigido no RPM 12.x.1.x)

No entanto, é importante destacar que o patch em formato RPM não persiste após uma atualização de versão. Portanto, caso o appliance seja atualizado, o administrador precisa reaplicar manualmente a correção. Enquanto isso, a Ivanti informou que a correção definitiva será incorporada à versão 12.8.0.0, prevista para lançamento no primeiro trimestre de 2026.

Origem técnica das falhas

As vulnerabilidades surgem em componentes responsáveis por funções administrativas sensíveis do EPMM. Entre eles, destacam-se:

• Mecanismos de distribuição interna de aplicativos
  
• Configurações relacionadas à transferência de arquivos em dispositivos Android
  

Devido a falhas no processo de validação, essas rotinas permitem a injeção de código malicioso. Como resultado, um atacante consegue executar comandos arbitrários diretamente no appliance do EPMM, comprometendo o ambiente.

Escopo do impacto para as organizações

Ambientes que executam versões vulneráveis do Ivanti EPMM ficam expostos a diversos riscos. Entre os principais, estão:

• Comprometimento total do servidor de gerenciamento
  
• Acesso não autorizado a dados de dispositivos móveis corporativos
  
• Alteração de políticas de segurança
  
• Criação ou modificação indevida de contas administrativas
  
• Movimentação lateral dentro da rede corporativa
  

Como o EPMM funciona como ponto central de controle, um único ataque bem-sucedido pode, rapidamente, se expandir para outros ativos críticos da organização.

Recomenda-se aos usuários que verifiquem o log de acesso do Apache em “/var/log/httpd/https-access_log” para procurar indícios de tentativas ou explorações bem-sucedidas usando o padrão de expressão regular (regex) abaixo:

Exploração ativa e contexto de ataques anteriores

Embora a Ivanti não tenha divulgado detalhes técnicos sobre os ataques observados, a empresa confirmou casos reais de exploração ativa. Historicamente, incidentes semelhantes envolvendo produtos da mesma linha resultaram na instalação de web shells e reverse shells, técnicas que garantem acesso persistente aos sistemas comprometidos.

Diante desse histórico, torna-se essencial que as organizações afetadas ajam imediatamente para reduzir a superfície de ataque.

Como identificar possíveis compromissos

Para identificar sinais de exploração, os administradores devem revisar os logs de acesso do Apache. Em especial, é importante observar o comportamento das respostas HTTP.

Segundo a própria Ivanti, o uso legítimo dessas funcionalidades gera respostas HTTP 200, enquanto tentativas de exploração bem-sucedidas ou falhas costumam resultar em códigos 404.

Além disso, recomenda-se verificar cuidadosamente:

• Contas administrativas novas ou recentemente alteradas
  
• Configurações de autenticação, incluindo SSO e LDAP
  
• Inclusão inesperada de aplicativos enviados aos dispositivos
  
• Alterações em aplicativos internos instalados nos dispositivos
  
• Políticas criadas ou modificadas recentemente
  
• Mudanças na configuração de rede, incluindo perfis de VPN distribuídos
  

Alerta de autoridade governamental

O CISA (Cybersecurity and Infrastructure Security Agency) incluiu a vulnerabilidade CVE-2026-1281 em seu catálogo oficial de falhas exploradas ativamente (KEV). Com isso, a agência reforça a urgência para que organizações afetadas apliquem as correções disponíveis sem demora.

Fonte: The Hacker News —https://thehackernews.com/2026/01/two-ivanti-epmm-zero-day-rce-flaws.html

Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem de sites