Falhas no Ivanti EPMM são exploradas em larga escala

A Palo Alto Networks alertou esta semana para o aumento da exploração de duas vulnerabilidades recentemente corrigidas no Ivanti Endpoint Manager Mobile (EPMM), que permaneceram como dia zero até janeiro. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, permitem que invasores remotos e não autenticados executem código arbitrário em servidores alvo, obtendo controle total sobre a infraestrutura de gerenciamento de dispositivos móveis (MDM) visada.

As vulnerabilidades críticas foram corrigidas pela Ivanti no final de janeiro, quando a empresa notificou os usuários sobre ataques de dia zero direcionados a um “número muito limitado de clientes”. A exploração generalizada das falhas começou logo após a divulgação, com a Palo Alto Networks observando uma ampla gama de atividades maliciosas em plataformas comprometidas.

Ataques envolvem web shells, backdoors e mineração de criptomoedas

Em uma postagem publicada em 17 de fevereiro, a Palo Alto Networks detalhou que os agentes de ameaças têm explorado as vulnerabilidades para baixar diversos tipos de malware em servidores Ivanti. Entre as cargas maliciosas identificadas estão web shells, mineradores de criptomoedas e um backdoor persistente. Os pesquisadores também observaram invasores implantando o Nezha, um utilitário de monitoramento de código aberto recentemente associado a atividades maliciosas ligadas à China, além de executar shells reversos e realizar reconhecimento nos sistemas invadidos.

Evidências apontam exploração desde meados de 2025

Embora não haja relatórios públicos descrevendo a exploração das CVEs como dia zero antes de janeiro, a agência nacional de segurança cibernética da Alemanha, a BSI, reportou evidências de exploração desde o verão de 2025. A BSI instou as organizações a verificarem seus sistemas em busca de indicadores de compromisso (IoCs) que podem remontar a julho de 2025.

A Ivanti tem sido um alvo frequente de agentes de ameaças, incluindo grupos de ciberespionagem patrocinados pelo Estado chinês, e o catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA atualmente lista mais de 30 falhas da empresa. Em comunicado à SecurityWeek, a Ivanti reiterou que os clientes que ainda não aplicaram o patch devem fazê-lo imediatamente e analisar seus dispositivos em busca de sinais de exploração anterior.