Ivanti corrige falhas críticas zero day no EPMM

A Ivanti anunciou a disponibilização de correções urgentes para duas vulnerabilidades críticas de zero day no Endpoint Manager Mobile (EPMM), que estavam a ser exploradas no mundo real. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, apresentam uma classificação CVSS de 9,8 e permitem execução remota de código (RCE) por atacantes não autenticados.

De acordo com a Ivanti, as vulnerabilidades estão relacionadas com falhas de injeção de código nas funcionalidades de distribuição interna de aplicações e de configuração de transferência de ficheiros Android do EPMM. A exploração bem-sucedida pode permitir aos atacantes executar código arbitrário, movimentar-se lateralmente na infraestrutura e aceder a informação sensível armazenada na plataforma.

Os dados potencialmente comprometidos incluem informação de administradores e utilizadores (nome, email e identificadores), bem como detalhes de dispositivos móveis geridos, como números de telefone, localização, identificadores, IMEI, endereços IP, UUID e informação sobre aplicações instaladas.

“Temos conhecimento de um número muito limitado de clientes cujas soluções foram exploradas no momento da divulgação”, refere a Ivanti no aviso de segurança.

Todas as versões do EPMM até às 12.5.0.0, 12.6.0.0, 12.7.0.0, 12.5.1.0 e 12.6.1.0 são afetadas. A Ivanti disponibilizou patches RPM específicos por versão (12.x.0.x e 12.x.1.x), sendo necessário aplicar apenas o patch correspondente à versão instalada. A empresa alerta ainda que, em caso de atualização do EPMM, os scripts RPM terão de ser reaplicados.

A Ivanti recomenda vivamente a migração para a versão 12.8.0.0, prevista para o final do primeiro trimestre de 2026, que elimina a necessidade de reaplicação dos patches.

A empresa refere que a informação disponível sobre os ataques é limitada, não permitindo fornecer indicadores de compromisso específicos. A Ivanti alerta ainda que os atacantes podem tentar apagar ou manipular registos para ocultar a atividade maliciosa e, potencialmente, alterar configurações do EPMM, criar novas contas de administrador, modificar políticas de autenticação ou distribuir aplicações maliciosas para dispositivos geridos.

Em caso de comprometimento, a Ivanti não recomenda a limpeza do sistema; a orientação passa antes por restaurar a plataforma a partir de um backup conhecido como seguro ou reconstruir uma nova instância, mantendo-a desligada da internet até à aplicação de todas as correções. Devem ainda ser redefinidas palavras-passe de contas locais, serviços LDAP ou KDC e substituído o certificado público utilizado pelo EPMM.

A agência norte-americana CISA adicionou a vulnerabilidade CVE-2026-1281 ao catálogo de Known Exploited Vulnerabilities (KEV), exigindo que as agências federais dos EUA apliquem as correções até 1 de fevereiro. Embora a diretiva se aplique apenas a entidades federais, a CISA recomenda que todas as organizações priorizem a mitigação destas vulnerabilidades como parte das suas práticas de gestão de risco.