🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Ivanti lançou atualizações de segurança para solucionar duas falhas de segurança que afetam o Ivanti Endpoint Manager Mobile (EPMM) que foram exploradas em ataques de dia zero, uma das quais foi adicionada pela Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
As vulnerabilidades de gravidade crítica estão listadas abaixo -
CVE-2026-1281 (pontuação CVSS: 9,8) – Uma injeção de código que permite aos invasores obter execução remota de código não autenticado
CVE-2026-1340 (pontuação CVSS: 9,8) – Uma injeção de código que permite aos invasores obter execução remota de código não autenticado
Eles afetam as seguintes versões -
EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores e 12.7.0.0 e anteriores (corrigido no RPM 12.x.0.x)
EPMM 12.5.1.0 e anteriores e 12.6.1.0 e anteriores (corrigido no RPM 12.x.1.x)
No entanto, vale ressaltar que o patch RPM não sobrevive a uma atualização de versão e deve ser reaplicado se o dispositivo for atualizado para uma nova versão. As vulnerabilidades serão corrigidas permanentemente na versão 12.8.0.0 do EPMM, que será lançada no final do primeiro trimestre de 2026.
“Estamos cientes de um número muito limitado de clientes cuja solução foi explorada no momento da divulgação”, disse Ivanti em um comunicado, acrescentando que não possui informações suficientes sobre as táticas dos atores da ameaça para fornecer “indicadores atômicos confiáveis”.
A empresa observou que CVE-2026-1281 e CVE-2026-1340 afetam a distribuição interna de aplicativos e os recursos de configuração de transferência de arquivos do Android. Essas deficiências não afetam outros produtos, incluindo Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) ou Ivanti Sentry.
Em uma análise técnica, a Ivanti disse que normalmente observa duas formas de persistência baseadas em ataques anteriores direcionados a vulnerabilidades mais antigas no EPMM. Isso inclui a implantação de web shells e shells reversos para configurar a persistência nos dispositivos comprometidos.
“A exploração bem-sucedida do dispositivo EPMM permitirá a execução arbitrária de códigos no dispositivo”, observou Ivanti. “Além do movimento lateral para o ambiente conectado, o EPMM também contém informações confidenciais sobre os dispositivos gerenciados pelo dispositivo.”
Os usuários são aconselhados a verificar o log de acesso do Apache em "/var/log/httpd/https-access_log" para procurar sinais de tentativa ou exploração bem-sucedida usando o padrão de expressão regular (regex) abaixo -
^(?!127\.0\.0\.1:\d+
.*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
“O uso legítimo desses recursos resultará em 200 códigos de resposta HTTP no log de acesso do Apache, enquanto a exploração bem-sucedida ou tentada causará 404 códigos de resposta HTTP”, explicou.
Além disso, os clientes estão sendo solicitados a revisar o seguinte para procurar qualquer evidência de alterações não autorizadas na configuração -
Administradores EPMM para administradores novos ou alterados recentemente
Configuração de autenticação, incluindo configurações de SSO e LDAP
Novos aplicativos push para dispositivos móveis
Alterações de configuração em aplicativos que você envia para dispositivos, incluindo aplicativos internos
Políticas novas ou modificadas recentemente
Alterações na configuração de rede, incluindo qualquer configuração de rede ou configuração de VPN enviada para dispositivos móveis
Caso sejam detectados sinais de comprometimento, a Ivanti também recomenda aos usuários que restaurem o dispositivo EPMM a partir de um backup em boas condições ou criem um EPMM substituto e, em seguida, migrem os dados para o dispositivo. Depois que as etapas forem executadas, é essencial fazer as seguintes alterações para proteger o ambiente -
Redefinir a senha de qualquer conta EPMM local
Redefinir a senha das contas de serviço LDAP e/ou KDC que realizam pesquisas
Revogar e substituir o certificado público usado para seu EPMM
Redefina a senha de qualquer outra conta de serviço interna ou externa configurada com a solução EPMM
O desenvolvimento levou a CISA a adicionar CVE-2026-1281 ao catálogo KEV, exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as atualizações até 1º de fevereiro de 2026.
As vulnerabilidades de gravidade crítica estão listadas abaixo -
CVE-2026-1281 (pontuação CVSS: 9,8) – Uma injeção de código que permite aos invasores obter execução remota de código não autenticado
CVE-2026-1340 (pontuação CVSS: 9,8) – Uma injeção de código que permite aos invasores obter execução remota de código não autenticado
Eles afetam as seguintes versões -
EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores e 12.7.0.0 e anteriores (corrigido no RPM 12.x.0.x)
EPMM 12.5.1.0 e anteriores e 12.6.1.0 e anteriores (corrigido no RPM 12.x.1.x)
No entanto, vale ressaltar que o patch RPM não sobrevive a uma atualização de versão e deve ser reaplicado se o dispositivo for atualizado para uma nova versão. As vulnerabilidades serão corrigidas permanentemente na versão 12.8.0.0 do EPMM, que será lançada no final do primeiro trimestre de 2026.
“Estamos cientes de um número muito limitado de clientes cuja solução foi explorada no momento da divulgação”, disse Ivanti em um comunicado, acrescentando que não possui informações suficientes sobre as táticas dos atores da ameaça para fornecer “indicadores atômicos confiáveis”.
A empresa observou que CVE-2026-1281 e CVE-2026-1340 afetam a distribuição interna de aplicativos e os recursos de configuração de transferência de arquivos do Android. Essas deficiências não afetam outros produtos, incluindo Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) ou Ivanti Sentry.
Em uma análise técnica, a Ivanti disse que normalmente observa duas formas de persistência baseadas em ataques anteriores direcionados a vulnerabilidades mais antigas no EPMM. Isso inclui a implantação de web shells e shells reversos para configurar a persistência nos dispositivos comprometidos.
“A exploração bem-sucedida do dispositivo EPMM permitirá a execução arbitrária de códigos no dispositivo”, observou Ivanti. “Além do movimento lateral para o ambiente conectado, o EPMM também contém informações confidenciais sobre os dispositivos gerenciados pelo dispositivo.”
Os usuários são aconselhados a verificar o log de acesso do Apache em "/var/log/httpd/https-access_log" para procurar sinais de tentativa ou exploração bem-sucedida usando o padrão de expressão regular (regex) abaixo -
^(?!127\.0\.0\.1:\d+
.*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
“O uso legítimo desses recursos resultará em 200 códigos de resposta HTTP no log de acesso do Apache, enquanto a exploração bem-sucedida ou tentada causará 404 códigos de resposta HTTP”, explicou.
Além disso, os clientes estão sendo solicitados a revisar o seguinte para procurar qualquer evidência de alterações não autorizadas na configuração -
Administradores EPMM para administradores novos ou alterados recentemente
Configuração de autenticação, incluindo configurações de SSO e LDAP
Novos aplicativos push para dispositivos móveis
Alterações de configuração em aplicativos que você envia para dispositivos, incluindo aplicativos internos
Políticas novas ou modificadas recentemente
Alterações na configuração de rede, incluindo qualquer configuração de rede ou configuração de VPN enviada para dispositivos móveis
Caso sejam detectados sinais de comprometimento, a Ivanti também recomenda aos usuários que restaurem o dispositivo EPMM a partir de um backup em boas condições ou criem um EPMM substituto e, em seguida, migrem os dados para o dispositivo. Depois que as etapas forem executadas, é essencial fazer as seguintes alterações para proteger o ambiente -
Redefinir a senha de qualquer conta EPMM local
Redefinir a senha das contas de serviço LDAP e/ou KDC que realizam pesquisas
Revogar e substituir o certificado público usado para seu EPMM
Redefina a senha de qualquer outra conta de serviço interna ou externa configurada com a solução EPMM
O desenvolvimento levou a CISA a adicionar CVE-2026-1281 ao catálogo KEV, exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as atualizações até 1º de fevereiro de 2026.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #duas #falhas #do #ivanti #epmm #zeroday #rce #exploradas #ativamente, #atualizações #de #segurança #lançadas
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário