A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) tem elevado o alarme sobre uma vulnerabilidade de alta gravidade em Ivanti Endpoint Manager (EPM) e ordenou às agências federais que apliquem adesivos no prazo de um período de tempo. três semanas. Registrada como CVE-2026-1603, a falha permite a atacantes remotos contornar mecanismos de autenticação e extrair credenciais através de um ataque de tipo cross-site scripting (XSS) que, segundo os avisos, é de baixa complexidade e não requer interação por parte do usuário.
Ivanti EPM é uma plataforma abrangente para gerenciar endpoints e dispositivos de cliente em múltiplos sistemas operacionais e ambientes, incluindo Windows, macOS, Linux, Chrome OS e dispositivos IoT. Essa amplitude funcional é precisamente o que torna suas vulnerabilidades em um alvo atrativo: uma falha no servidor de gestão pode traduzir-se em acesso a dezenas ou centenas de equipamentos administrados.
Ivanti publicou correções há aproximadamente um mês ao lançar a versão Ivanti EPM 2024 SU5, além de mitigar o XSS corrige uma injeção SQL que poderia permitir a leitura arbitrária de dados na base de dados. O comunicado da empresa detalha as mitigações disponíveis e os links de download no seu boletim de segurança; pode ser consultado no seu portal oficial.
Embora Ivanti observou que, até a publicação de seu aviso e na hora de ser consultada pela imprensa, não havia recebido notificações confirmadas de exploração em clientes, CISA decidiu incluir a vulnerabilidade em seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e chamou-a como aproveitada em ataques reais, uma decisão que geralmente se baseia em telemetria de múltiplas fontes e em padrões de ataque observados. O próprio aviso de CISA sobre novas inclusões no catálogo recolhe esta adição e sublinha que as falhas deste tipo são vetores frequentes para atores maliciosos: ver comunicado de CISA, e a entrada específica no catálogo pode ser consultada aqui.
O alcance potencial do problema também é refletido em digitalização pública: a plataforma de monitoramento Shadowserver mostra mais de 700 instâncias de Ivanti EPM expostas na Internet, principalmente na América do Norte, embora não haja um dado público que indique quantas dessas instâncias estão executando versões vulneráveis ou já adesivos. A vista de Shadowserver oferece uma radiografia do estado de exposição pública e pode ser revista em seu dashboard: ver estatísticas de Shadowserver.
As autoridades federais não agiram isoladamente: a inclusão no KEV desencadeia uma obrigação vinculativa Para as agências civis executivas do governo dos EUA. Os EUA, que devem aplicar a correcção no prazo fixado pela directiva operacional. Essa exigência provém da BOD 22-01, a directiva do Departamento de Segurança Nacional que estabelece tempos e prioridades para mitigar vulnerabilidades catalogadas como exploradas na natureza; o documento completo está disponível no sítio do DHS: BOD 22-01.
É importante colocar este episódio em contexto: Ivanti e outros gestores de endpoints têm sido objetivos recorrentes. Em 2024, CISA já urgiu a garantir redes contra várias falhas em EPM que estavam sendo exploradas ativamente, e em outubro desse ano também forçam a aplicação de adesivos para outra vulnerabilidade de Ivanti detectada em ambientes reais. A reiteração desses incidentes destaca duas realidades do panorama de cibersegurança atual: por um lado, as ferramentas de gestão centralizada concentram impacto potencial; por outro, os grupos de ataque priorizam falhas que permitem acesso inicial ou exfiltração de credenciais.
Para equipamentos de segurança e responsáveis por infra-estruturas, há uma série de passos práticos que devem ser priorizados imediatamente. Em primeiro lugar, confirmar se alguma versão afetada do Ivanti EPM está sendo executada e aplicar os adesivos publicados pelo fornecedor. A seguir, se houver instâncias acessíveis da Internet, é aconselhável restringir o acesso externo através de firewall e VPN, e considerar a desconexão temporária de serviços expostos enquanto a correção é validada. Também convém rever registos e alertas para detectar atividade incomum em torno do painel de administração, além de forçar a rotação de credenciais e chaves administrativas para minimizar o risco em caso de já ter ocorrido uma filtração. Por último, manter uma política de defesa em profundidade — segmentação de rede, autenticação multifator e bom controle de privilégios — reduz a probabilidade de uma vulnerabilidade isolada escale até comprometer ambientes críticos.
Ivanti presta serviços e produtos a dezenas de milhares de organizações através de uma extensa rede de parceiros, o que multiplica a importância de uma resposta coordenada e rápida. A interação entre avisos de fabricantes, telemetria de organizações como Shadowserver e advertências de agências como CISA constitui hoje a melhor linha de defesa para acelerar a mitigação de falhas de alto risco. Se você administra sistemas EPM, a recomendação é clara: verificar versões, aplicar adesivos e reduzir a exposição pública sem demora.
Para ampliar informações técnicas e seguir a evolução do incidente, consulte as fontes oficiais ligadas neste texto e esteja atento aos boletins de Ivanti e às atualizações de CISA, que refletem tanto a situação de exploração como as diretrizes para responder no ambiente federal e privado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...