Vulnerabilități zero-day din Ivanti EPMM exploatate în mod activ

Două vulnerabilități critice de tip zero-day în Ivanti Endpoint Manager Mobile (EPMM) au apărut ca o amenințare majoră pentru rețelele întreprinderilor.

Vulnerabilitățile, identificate ca CVE-2026-1281 și CVE-2026-1340, permit atacatorilor neautentificați să execute cod arbitrar de la distanță pe serverele vizate, fără a necesita interacțiunea utilizatorului sau credențiale.

Atacul le oferă persoanelor rău intenționate controlul complet asupra infrastructurii de gestionare a dispozitivelor mobile, permițându-le să stabilească reverse shell-uri, să instaleze web shell-uri, să efectueze acțiuni de recunoaștere și să descarce software rău intenționat.

Specialiștii au observat că atacatorii  își accelerează rapid operațiunile, trecând de la recunoașterea inițială la implementarea de backdoor-uri latente, concepute pentru a menține accesul pe termen lung chiar și după ce patch-urile de securitate sunt aplicate.

Acest lucru demonstrează modul în care atacatorii își adaptează strategiile pentru a asigura accesul persistent la rețelele compromise.

Ambele vulnerabilități provin din utilizarea necorespunzătoară a scripturilor bash în componentele vechi care gestionează rescrierea adreselor URL în configurația serverului web Apache.

CVE-2026-1281 afectează scripturile utilizate pentru funcția de distribuire a aplicațiilor interne, în timp ce CVE-2026-1340 afectează mecanismul de transfer de fișiere Android.

În timpul încercărilor de exploatare, atacatorii au utilizat mai multe tipuri de malware și instrumente pentru a compromite sistemele vulnerabile.

Specialiștii în domeniul securității  au observat instalarea unor web shell-uri JSP cu nume precum 401.jsp, 403.jsp și 1.jsp, plasate în directorul aplicației web al serverului.

În cazul în care au succes, aceste shell-uri acordă control administrativ dacă serverul web rulează cu privilegii sporite.

Ivanti a lansat patch-uri specifice versiunii (RPM 12.x.0.x sau RPM 12.x.1.x) care nu necesită timp de nefuncționare și se aplică în doar câteva secunde.

Se recomandă aplicarea imediată a patch-urilor pe sistemele vulnerabile și verificarea dispozitivelor pentru a detecta semne de exploatare care ar fi putut apărea înainte de aplicarea patch-urilor.

Sursă: https://cybersecuritynews.com/critical-ivanti-epmm-zero-day-vulnerabilities/