A Ivanti divulgou patches de emergência para duas vulnerabilidades zero-day críticas em seu Endpoint Manager Mobile (EPMM). Identificadas como CVE-2026-1281 e CVE-2026-1340, ambas recebem nota máxima de risco CVSS 9.8. A falha permite que um atacante remoto não autenticado execute código arbitrário e assuma o controle total do servidor de gerenciamento de dispositivos móveis, caso este esteja exposto à internet.
Os ataques explorando as falhas já estavam em andamento no momento da divulgação dos patches, caracterizando uma exploração de dia zero. Embora a Ivanti afirme conhecer apenas um número limitado de clientes comprometidos, o risco é extensivo, pois os servidores vulneráveis armazenam dados sensíveis de toda a frota corporativa de smartphones e tablets.
Impacto direto e contexto das vulnerabilidades
A exploração bem-sucedida concede ao atacante acesso ao servidor EPMM, incluindo informações de administradores, usuários e dados dos próprios dispositivos gerenciados, como números de telefone e coordenadas de GPS. Isso possibilita o rastreamento em tempo real da localização de dispositivos corporativos, além de servir como ponto de entrada para movimentação lateral na rede.
O incidente repete um padrão crítico observado desde o início do ano, onde grandes fornecedores de soluções corporativas, como Fortinet e a própria Ivanti, são alvos de explorações de vulnerabilidades de alta gravidade antes da disponibilização dos patches.
Ações de resposta e mitigação
A Ivanti não forneceu Indicadores de Comprometimento (IoCs) confiáveis, recomendando uma análise técnica profunda. A verificação deve começar pelos logs do Apache, focando em requisições anômalas (como respostas 404) para os componentes “In-House Application Distribution” e “Android File Transfer Configuration”. Qualquer requisição GET contendo comandos bash nos parâmetros ou POST para páginas de erro como 401.jsp é altamente suspeita.
A agência de segurança CISA dos EUA alerta que tais falhas são usadas para instalar backdoors persistentes. Diante disso, a recomendação da Ivanti é drástica: se qualquer sinal de comprometimento for encontrado, não tente limpar o sistema. A ação correta é restaurar totalmente o servidor a partir de um backup limpo e então aplicar o patch. Na ausência de backup, deve-se implantar um novo servidor EPMM e migrar os dados.






