A Ivanti lançou atualizações emergenciais para corrigir duas vulnerabilidades críticas em sua plataforma Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-1281 e CVE-2026-1340. Ambas permitem execução remota de código sem autenticação e receberam pontuação CVSS 9.8. As falhas já estavam sendo exploradas ativamente, o que levou a CISA, dos Estados Unidos, a incluir uma delas em seu catálogo de vulnerabilidades ativamente exploradas.
As brechas afetam múltiplas versões do EPMM e estão relacionadas aos recursos de distribuição de aplicativos internos e configuração de transferência de arquivos Android. Segundo a Ivanti, não há impacto em outras soluções como Ivanti Neurons ou Ivanti Sentry. Os patches foram liberados via RPM, mas a empresa alerta que eles não permanecem ativos após atualizações de versão e devem ser reaplicados. A exploração das vulnerabilidades pode levar à execução arbitrária de código no dispositivo, comprometendo não apenas o EPMM, mas também dados sensíveis de dispositivos gerenciados.
A Ivanti observou que métodos comuns de persistência incluem a instalação de web shells e reverse shells para manter controle sobre os sistemas infectados. Os usuários foram orientados a verificar os logs de acesso do Apache para detectar sinais de exploração, além de revisar configurações administrativas, políticas de autenticação e push de aplicativos móveis para identificar alterações não autorizadas. Caso seja detectado algum indício de comprometimento, a empresa recomenda restaurar o ambiente a partir de um backup confiável ou reconstruir a infraestrutura, além de redefinir senhas, revogar certificados públicos e revisar contas de serviço.
