⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As observações de inteligência de ameaças mostram que um único ator de ameaça é responsável pela maior parte da exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), rastreadas como CVE-2026-21962 e CVE-2026-24061.
Os problemas de segurança foram sinalizados como explorados ativamente em ataques de dia zero no comunicado de segurança da Ivanti, onde a empresa também anunciou hotfixes.
Ambas as falhas receberam uma classificação de gravidade crítica e permitem que um invasor injete código sem autenticação, levando à execução remota de código (RCE) em sistemas vulneráveis.
Um único endereço IP hospedado em uma infraestrutura à prova de balas é responsável por mais de 83% da atividade de exploração relacionada às duas vulnerabilidades, afirma a GreyNoise, empresa de inteligência de Internet focada em ameaças.
Entre 1º e 9 de fevereiro, a plataforma de monitoramento observou 417 sessões de exploração originadas de 8 endereços IP de origem exclusivos e centradas em CVE-2026-21962 e CVE-2026-24061.
O maior volume, 83%, vem de 193[.]24[.]123[.]42, hospedado por PROSPERO OOO (AS200593), que os analistas da Censys marcaram como um sistema autônomo à prova de balas usado para atingir vários produtos de software.
IPs de origem de ataqueFonte: GreyNoise
Um aumento acentuado ocorreu em 8 de fevereiro, com 269 sessões gravadas em um único dia. O número é quase 13 vezes a média diária de 22 sessões, observou GreyNoise.
Das 417 sessões de exploração, 354 (85%) usaram retornos de chamada DNS no estilo OAST para verificar a capacidade de execução de comandos, apontando para a atividade inicial do corretor de acesso.
Curiosamente, vários indicadores de comprometimento (IoCs) publicados incluem endereços IP para Windscribe VPN (185[.]212[.]171[.]0/24) presentes na telemetria GreyNoise como verificação de instâncias Oracle WebLogic, mas nenhuma atividade de exploração Ivanti.
Os pesquisadores observam que o endereço IP do PROSPERO OOO que eles viram "não está nas listas do COI amplamente publicadas, o que significa que os defensores que bloqueiam apenas os indicadores publicados provavelmente estão perdendo a fonte de exploração dominante".
Esse IP não se limita à segmentação da Ivanti, pois explorou simultaneamente mais três vulnerabilidades: CVE-2026-21962 no Oracle WebLogic, CVE-2026-24061 no GNU Inetutils Telnetd e CVE-2025-24799 no GLPI.
A falha do Oracle WebLogic teve a maior parte no volume de sessões, superando o restante com 2.902 sessões, seguida pelo problema do Telnetd com 497 sessões.
A atividade de exploração parece totalmente automatizada, girando entre trezentos agentes de usuários.
Vulnerabilidades direcionadasFonte: GreyNoise
As correções da Ivanti para CVE-2026-1281 e CVE-2026-1340 não são permanentes. A empresa prometeu lançar patches completos no primeiro trimestre deste ano, com o lançamento da versão 12.8.0.0 do EPMM.
Até então, é recomendado usar os pacotes RPM 12.x.0.x para as versões 12.5.0.x, 12.6.0.x e 12.7.0.x do EPMM e o RPM 12.x.1.x para as versões 12.5.1.0 e 12.6.1.0 do EPMM.
O fornecedor observa que a abordagem mais conservadora é criar uma instância EPMM substituta e migrar todos os dados para lá. Instruções sobre como fazer isso estão disponíveis aqui.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
Os problemas de segurança foram sinalizados como explorados ativamente em ataques de dia zero no comunicado de segurança da Ivanti, onde a empresa também anunciou hotfixes.
Ambas as falhas receberam uma classificação de gravidade crítica e permitem que um invasor injete código sem autenticação, levando à execução remota de código (RCE) em sistemas vulneráveis.
Um único endereço IP hospedado em uma infraestrutura à prova de balas é responsável por mais de 83% da atividade de exploração relacionada às duas vulnerabilidades, afirma a GreyNoise, empresa de inteligência de Internet focada em ameaças.
Entre 1º e 9 de fevereiro, a plataforma de monitoramento observou 417 sessões de exploração originadas de 8 endereços IP de origem exclusivos e centradas em CVE-2026-21962 e CVE-2026-24061.
O maior volume, 83%, vem de 193[.]24[.]123[.]42, hospedado por PROSPERO OOO (AS200593), que os analistas da Censys marcaram como um sistema autônomo à prova de balas usado para atingir vários produtos de software.
IPs de origem de ataqueFonte: GreyNoise
Um aumento acentuado ocorreu em 8 de fevereiro, com 269 sessões gravadas em um único dia. O número é quase 13 vezes a média diária de 22 sessões, observou GreyNoise.
Das 417 sessões de exploração, 354 (85%) usaram retornos de chamada DNS no estilo OAST para verificar a capacidade de execução de comandos, apontando para a atividade inicial do corretor de acesso.
Curiosamente, vários indicadores de comprometimento (IoCs) publicados incluem endereços IP para Windscribe VPN (185[.]212[.]171[.]0/24) presentes na telemetria GreyNoise como verificação de instâncias Oracle WebLogic, mas nenhuma atividade de exploração Ivanti.
Os pesquisadores observam que o endereço IP do PROSPERO OOO que eles viram "não está nas listas do COI amplamente publicadas, o que significa que os defensores que bloqueiam apenas os indicadores publicados provavelmente estão perdendo a fonte de exploração dominante".
Esse IP não se limita à segmentação da Ivanti, pois explorou simultaneamente mais três vulnerabilidades: CVE-2026-21962 no Oracle WebLogic, CVE-2026-24061 no GNU Inetutils Telnetd e CVE-2025-24799 no GLPI.
A falha do Oracle WebLogic teve a maior parte no volume de sessões, superando o restante com 2.902 sessões, seguida pelo problema do Telnetd com 497 sessões.
A atividade de exploração parece totalmente automatizada, girando entre trezentos agentes de usuários.
Vulnerabilidades direcionadasFonte: GreyNoise
As correções da Ivanti para CVE-2026-1281 e CVE-2026-1340 não são permanentes. A empresa prometeu lançar patches completos no primeiro trimestre deste ano, com o lançamento da versão 12.8.0.0 do EPMM.
Até então, é recomendado usar os pacotes RPM 12.x.0.x para as versões 12.5.0.x, 12.6.0.x e 12.7.0.x do EPMM e o RPM 12.x.1.x para as versões 12.5.1.0 e 12.6.1.0 do EPMM.
O fornecedor observa que a abordagem mais conservadora é criar uma instância EPMM substituta e migrar todos os dados para lá. Instruções sobre como fazer isso estão disponíveis aqui.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #um #ator #de #ameaça #responsável #por #83% #dos #ataques #recentes #do #ivanti #rce
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário