Ivanti publicou um aviso urgente sobre uma nova falha de segurança no seu gestor de dispositivos móveis on-premise, Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973, com uma pontuação CVSS de 7.2, e que já foi explorada em um número muito limitado de incidentes em ambientes reais, segundo a própria empresa. A vulnerabilidade é um problema de validação insuficiente de entrada que, na presença de credenciais administrativas, permite a execução remota de código; Ivanti adverte que a exploração requer autenticação com privilégios administrativos, pelo que a exposição depende tanto da presença da versão vulnerável como do controle de acesso às contas de administração.
Além de CVE-2026-6973, Ivanti corrigiu quatro falhas adicionais em EPMM on-premise que merecem atenção imediata: CVE-2026-5786(acesso administrativo por controlo de acesso incorreto), CVE-2026-5787(validação de certificados que permite impessoação e obtenção de certificados assinados pela CA), CVE-2026-5788(invogação arbitrária de métodos por um atacante não autenticado) e CVE-2026-7821(incrição não autorizada de dispositivos e filtragem de informações da appliance). O conjunto inclui falhas que não requerem autenticação prévia, o que os coloca numa posição de prioridade alta para a mitigação.
O governo dos Estados Unidos reagiu incluindo a falha no catálogo de vulnerabilidades exploradas conhecidas (Known Exploited Vulnerabilities, KEV) da CISA, o que obriga as agências federais civis a aplicar as correções antes de 10 de maio de 2026. Esta inclusão sublinha o risco operacional e a necessidade de priorizar a implantação de sistemas transdérmicos, não apenas em ambientes governamentais, mas também em empresas que gerem dispositivos móveis corporativos críticos.
Ivanti indica que as correções estão incluídas nas versões 12.6.1.1, 12.7.0.1 e 12.8.0.1 EPMM; se a sua instalação estiver em versões anteriores, a ação mais urgente é planejar e executar a atualização a essas versões ou superiores. Uma vez que as vulnerabilidades afetam apenas a versão on-premise de EPMM e não Ivanti Neurons for MDM (cloud) ou outros produtos Ivanti, é crucial identificar com precisão que instância tem em produção antes de tomar decisões técnicas.
Se a sua organização já foi notificada ou suspeita de uma exploração prévia (por exemplo, por incidentes relacionados com CVE-2026-1281 ou CVE-2026-1340), Ivanti recomenda que se tenham rotado credenciais administrativas; essa rotatividade reduz significativamente a superfície de risco contra CVE-2026-6973. Complementariamente, é recomendável realizar uma revisão forense de logs de acesso administrativo, verificar integridade de binários e configurações, e procurar indicadores de compromisso relacionados à emissão ou uso incomum de certificados e com inscrições de dispositivos não autorizadas.
Na prática, as medidas imediatas consistem em aplicar o adesivo oficial, rotar credenciais administrativas e de serviço, forçar a revogação e reemissão de certificados afetados, e restringir o acesso à interface de gestão de EPMM por segmentação de rede, VPNs de administração e listas de controle de acesso. Active a autenticação multifator nas contas com privilégios e aumente o nível de monitorização em torno dos endpoints de gestão: procure acessos administrativos fora de horas, alterações em modelos de inscrição e tráfego TLS anormais que possam indicar impessoação de Sentry ou tentativas de obtenção de certificados.
Do ponto de vista operacional e de governança, coordene com a sua equipe de segurança, com o fornecedor e com terceiros que gerem dispositivos móveis para garantir que as atualizações sejam implantadas de forma controlada e que existam cópias de segurança e planos de rollback. Consulte a nota técnica e o advisory do fabricante para instruções específicas de atualização e contraste com fontes públicas de referência como catálogo da CISA e base de dados NVD para seguimento das entradas CVE e telemetria pública: Avisos de segurança de Ivanti e a ficha da CISA no catálogo KEV acima mencionado, bem como a página do NVD para cada CVE ( CVE-2026-6973 em NVD).
Em resumo, trate estas correcções como prioritárias: Actualizar o EPMM on-premise às versões alteradas, rote credenciais administrativas, reforce controlos de acesso e reveja os registos em busca de atividade suspeita. A combinação de sistemas técnicos e medidas de detecção/contenção reduz significativamente a probabilidade de um exploit observado na natureza ter impacto real na sua organização.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...