Ivanti emitiu um aviso urgente e adesivos para uma vulnerabilidade de execução remota de código de alta gravidade no seu produto on-premise Endpoint Manager Mobile (EPMM), registado como CVE‐2026‐6973. Segundo a nota da empresa, a falha é resultado de uma validação de entrada incorrecta que permite a um atacante com credenciais administrativas executar código arbitrário em instalações de EPMM versão 12.8.0.0 e anteriores, e já foi detectada exploração em ataques de tipo zero-day, embora Ivanti fala de um uso muito limitado na natureza.
Ivanti publica as versões que corrigem o problema: EPMM 12.6.1.1, 12.7.0.1 e 12.8.0.1, e recomenda também rever e rotar credenciais com privilégios administrativos. A atualização afeta exclusivamente o produto on-premise EPMM e, segundo a empresa, não Está presente em Ivanti Neurons for MDM (solução na nuvem), nem em outros produtos como Ivanti EPM ou Ivanti Sentry. O comunicado oficial contém os detalhes e links para download e mitigação: https://www.ivanti.com/blog/may-2026-epmm-security-update.
O panorama operacional agrava a urgência: projetos de rastreamento como Shadowserver detectam mais de 850 endereços IP públicos Com pegadas de Ivanti EPMM expostas na Internet, concentradas principalmente na Europa e na América do Norte. Não há visibilidade pública confiável de quantas dessas instâncias já aplicaram adesivos, pelo que é razoável assumir que uma proporção significativa continua vulnerável. Você pode consultar o mapa de detecções em tempo real no painel de Shadowserver: https://dashboard.shadowserver.org/....
Este adesivo é publicado em conjunto com correcções para outras quatro vulnerabilidades de alta gravidade na EPMM (CVE‐2026‐5786, CVE‐2026‐5787, CVE‐2026‐5788 e CVE‐2026‐7821) que, em diferentes cenários, permitem desde aquisição de privilégios administrativos até suplantação de hosts Sentry e acesso a informações restritas. Ivanti não encontrou nenhuma evidência pública de exploração destas outras falhas, mas adverte que CVE-2026-7821 pode ser explorado sem privilégios em ambientes com o Apple Device Enrollment configurado.
O histórico recente acrescenta contexto: Ivanti já havia adesivos em janeiro outras duas vulnerabilidades críticas em EPMM (CVE‐2026‐1281 e CVE‐2026-1340) utilizadas em ataques dirigidos contra um número limitado de clientes, e a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Nos EUA (CISA) incluiu várias falhas de Ivanti em seu catálogo de vulnerabilidades exploradas na natureza. CISA mantém um registro de vulnerabilidades conhecidas exploradas que inclui numerosos CVE associados a Ivanti: https://www.cisa.gov/known-exploited-vulnerabilities-catalog.
O que devem fazer as equipes de segurança agora: em primeiro lugar, priorizar a instalação imediata dos adesivos indicados por Ivanti em qualquer EPMM on-premise afetado e verificar versões após a atualização. Se por razões operacionais não for possível corrigir imediatamente, aplique atenuações temporárias como bloquear o acesso externo ao porto de gestão do servidor EPMM da Internet e restringir o acesso de administração através de listas de controlo de acesso (ACL) e VPNs de administração. Revise e rote as credenciais administrativas, habilite a autenticação multifator onde possível e limite os privilégios administrativos a contas de uso efêmero.
A detecção e caça de intrusos deve focar-se em várias frentes: procurar evidências de criação ou uso de contas administrativas anómalas, revisar os logs de administração para execuções de comandos ou cargas incomuns, auditar certificados e hosts Sentry registrados e verificar integridade de binários e configurações. Se a sua organização foi afetada pelas vulnerabilidades de janeiro e seguiu a recomendação de rotar credenciais, isso reduzirá o risco contra CVE-2026-6973, tal como assinala Ivanti; ainda assim, a confirmação técnica mediante análise forense continua sendo necessária.
Para além do adesivo imediato, as organizações devem repensar a postura de exposição: evitar expor consoles de administração à Internet, segmentar redes de gestão, aplicar controles de acesso baseados em identidade e mínimo privilégio, e fortalecer processos de gestão de patches e testes de regressão para reduzir a janela de exposição a futuros zero-days. Considerar a migração para soluções gerenciadas na nuvem ou arquiteturas com controles adicionais pode mitigar o risco operacional associado a produtos on-premise críticos.
Finalmente, documente o incidente em seu inventário de riscos, comunique a stakeholders pertinentes e, se detectar indícios de compromisso, coordene a resposta com sua equipe de incidentes e, se necessário, com autoridades reguladoras locais. Para organizações que gerem muitos endpoints com EPMM, estabelecer uma política de sistemas acelerados e exercícios de recuperação ajudará a evitar que uma vulnerabilidade como esta derive em um incidente maior ou em abuso por atores do ransomware.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...