Ivanti publicou adesivos de segurança para corrigir duas vulnerabilidades críticas que afetam sua solução de gestão de dispositivos móveis Ivanti Endpoint Manager Mobile (EPMM) e que já estão sendo aproveitadas em ataques “zero-day”. Ambos os erros, identificados como CVE-2026-1281 e CVE-2026-1340, recebem uma pontuação muito alta na escala CVSS (9,8) e permitem a injeção de código que pode resultar em execução remota não autenticada sobre o appliance afetado.
A empresa informou que estas fraquezas impactam funções concretas do produto, em particular a distribuição interna de aplicativos (In-House Application Distribution) e a configuração de transferência de arquivos para Android (Android File Transfer Configuration), e deixou claro que outros produtos da família Ivanti – como Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) ou Ivanti Sentry – não são afetados por essas falhas. O aviso oficial e o guia técnico estão disponíveis nos fóruns de Ivanti onde explicam os cenários de exploração e mitigação: aviso de segurança de Ivanti e a análise detalhada com orientação técnica.
Ambas as vulnerabilidades foram catalogadas como exploradas na natureza, e a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA (CISA) adicionou pelo menos uma delas —CVE‐2026-1281 — ao seu catálogo de vulnerabilidades conhecidas por serem exploradas (Known Exploited Vulnerabilities, KEV), o que obriga as agências federais a aplicar as correções em prazos muito curtos. O aviso de CISA que incorpora a entrada e a página do catálogo podem ser consultados aqui: alerta de CISA e catálogo KEV.
Do ponto de vista técnico, a exploração destes erros permite a um atacante injetar código no appliance EPMM e conseguir execução arbitrária sem necessidade de autenticar-se, o que abre a porta a comprometer a infraestrutura e a acessar informações sensíveis sobre os dispositivos administrados. Ivanti descreve que, historicamente, os ataques bem-sucedidos contra variantes anteriores de EPMM terminaram por implantar persistência por web shells ou reverse shells, técnicas que asseguram o acesso prolongado ao sistema comprometido.
As versões afectadas incluem ramos de EPMM até 12.5.x, 12.6.x e 12.7.x, segundo a matriz de versões publicada; por sua vez, a empresa indica que a correção definitiva será incorporada de forma permanente na versão 12.8.0.0 que espera lançar no decurso do primeiro trimestre de 2026. Como medida imediata, Ivanti distribuiu um adesivo no formato RPM, mas adverte que este adesivo não sobrevive a uma atualização de versão: se o appliance for atualizado após a aplicação do RPM, será necessário reequivá-lo.
Ivanti também comunica que detectou um número reduzido de clientes que sofreram exploração no momento da divulgação, mas que ainda não dispõe de indicadores de compromisso atômicos e verificáveis que permitam traçar de forma confiável a atividade do ator por trás dos ataques. Essa incerteza é precisamente a razão pela qual a empresa oferece instruções para a busca de evidências nos sistemas e para a contenção e recuperação se se confirmar uma intrusão.
Para identificar tentativas ou incursões, a recomendação operacional passa por revisar o log de acesso do Apache localizado em /var/log/httpd/https-access_log À procura de padrões nos pedidos para os endpoints envolvidos. Ivanti facilita uma expressão regular que ajuda a detectar pedidos que devolvem códigos 404 associados a tentativas de abuso nas rotas /mifs/c/(aft|app)store/fob; em condições normais as chamadas legítimas devem devolver 200, enquanto as tentativas ou explorações fracassadas normalmente causam 404. Encontrar registros que concordem com esse padrão, ou respostas anómalas, deve conduzir a uma pesquisa mais profunda.
Além de monitorar os logs web, Ivanti aconselha a rever mudanças recentes na própria configuração: verificar administradores novos ou modificados, verificar configurações de autenticação como SSO e LDAP, revisar aplicativos de push e sua configuração, políticas adicionadas ou alteradas e qualquer mudança na configuração de rede ou VPN que se implementa aos dispositivos móveis. Se forem detectadas indicações de compromisso, a recomendação firme é restaurar o appliance a partir de uma cópia de segurança confiável ou reconstruir uma nova instância e migrar dados, e depois rodar credenciais e certificados críticos.
Em caso de limpeza após um incidente, as ações de contenção sugeridas incluem restabelecer as senhas de contas locais de EPMM, alterar as credenciais de serviço usadas para pesquisas LDAP ou KDC, revogar e substituir o certificado público do appliance e atualizar qualquer outra conta de serviço vinculada ao ambiente. Essas medidas buscam eliminar portas traseiras e credenciais que um atacante pudesse ter exfiltrado ou obtido durante a intrusão.
Para administradores e equipamentos de segurança, a prioridade imediata é aplicar os adesivos oficiais de Ivanti quando possível e corroborar que a correção é mantida após qualquer atualização de versão; se for usado o RPM temporal, é necessário planejar sua reinstalação após cada atualização até que a versão 12.8.0.0 esteja implantada. As notas e atualizações de Ivanti podem ser consultadas no seu espaço de avisos: forum/aviso de Ivanti.
A entrada de CVE-2026-1281 no catálogo KEV acelerou os prazos regulatórios para organismos do governo dos Estados Unidos: as agências federais devem ter aplicado as correções na data limite estabelecida pela CISA, que neste caso pautou um cumprimento rápido. Para equipamentos fora do âmbito federal, a recomendação prática é idêntica: priorizar a atualização, monitorar evidências de atividade suspeita e estar preparados para respostas de incidentes que incluam restauração de cópias confiáveis, reconstrução de appliances e rotação de credenciais críticas.
Num ambiente onde as plataformas de gestão móvel concentram acesso e dados sensíveis sobre os dispositivos de uma organização, uma vulnerabilidade que permita execução remota sem autenticação não é uma ameaça menor. Manter os sistemas atualizados, auditar as mudanças nas configurações e contar com processos claros de recuperação e rotação de credenciais são medidas que reduzem o risco e aceleram a resposta a uma intrusão. Para mais informações e passos técnicos contrastados, consulte a comunicação de Ivanti e o guia de CISA: Análise e orientação de Ivanti e a alerta de CISA.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...