Observações recentes de inteligência de ameaças revelam que um único pirata informático é responsável pela grande maioria da exploração ativa de duas falhas críticas no Ivanti Endpoint Manager Mobile (EPMM). As vulnerabilidades em causa, identificadas como CVE-2026-21962 e CVE-2026-24061, já tinham sido sinalizadas como sendo ativamente exploradas em ataques zero-day no alerta de segurança da empresa, onde também foram anunciadas correções rápidas.
Ambos os problemas receberam uma classificação de gravidade crítica, pois permitem que um atacante injete código sem necessidade de autenticação. Isto pode levar à execução remota de código (RCE) nos sistemas afetados.
A origem e a escala das invasões
De acordo com a empresa de inteligência focada em ameaças na internet, um único endereço IP alojado numa infraestrutura à prova de balas (bulletproof) é responsável por mais de 83% da atividade de exploração relacionada com as duas vulnerabilidades.
Entre os dias 1 e 9 de fevereiro, a plataforma de monitorização observou 417 sessões de exploração com origem em oito endereços IP únicos, todas centradas nas CVE-2026-21962 e CVE-2026-24061. O maior volume de tráfego ocorreu a 8 de fevereiro, com um pico acentuado de 269 sessões registadas num único dia, um valor quase 13 vezes superior à média diária de 22 sessões.
Das 417 sessões de exploração, 354 (cerca de 85%) utilizaram chamadas DNS no estilo OAST para verificar a capacidade de execução de comandos, o que aponta para atividade de corretores de acesso inicial. Curiosamente, vários indicadores de comprometimento (IoCs) publicados incluem endereços associados a serviços de VPN que também apareceram na telemetria a analisar instâncias do Oracle WebLogic, mas sem atividade de exploração contra a Ivanti.
Os investigadores sublinham que o endereço IP principal detetado não consta nas listas de IoCs amplamente publicadas. Isto significa que os defensores que bloqueiam apenas os indicadores conhecidos estão provavelmente a falhar a fonte de exploração dominante. Este IP não se limitou à Ivanti, tendo explorado simultaneamente outras vulnerabilidades: CVE-2026-21962 no Oracle WebLogic, CVE-2026-24061 no GNU Inetutils Telnetd e CVE-2025-24799 no GLPI. A falha no Oracle WebLogic liderou os volumes de sessões de forma destacada com 2902 tentativas, seguida do problema no Telnetd com 497. Toda esta atividade parece ser totalmente automatizada, rodando entre trezentos user agents diferentes.
Correções temporárias e a resposta da empresa
As soluções atuais da Ivanti para os problemas CVE-2026-1281 e CVE-2026-1340 não são permanentes. A empresa prometeu lançar patches completos no primeiro trimestre deste ano, juntamente com a disponibilização da versão 12.8.0.0 do EPMM.
Até essa data, a recomendação passa por utilizar os pacotes RPM 12.x.0.x para as versões 12.5.0.x, 12.6.0.x e 12.7.0.x do EPMM, e o RPM 12.x.1.x para as versões 12.5.1.0 e 12.6.1.0. A própria fabricante nota que a abordagem mais conservadora seria construir uma instância de substituição do EPMM e migrar todos os dados para a nova infraestrutura.
Numa atualização a 15 de fevereiro, um porta-voz da Ivanti reforçou a urgência da situação: os clientes que ainda não aplicaram as correções devem fazê-lo imediatamente e, de seguida, rever os seus equipamentos em busca de sinais de exploração prévia. O representante sublinhou que a aplicação do patch é a forma mais eficaz de prevenir ataques, independentemente de como os IoCs mudam com o tempo, e destacou que o processo demora apenas segundos sem exigir tempo de inatividade. A empresa continua a apoiar os clientes com indicadores de alta fidelidade e scripts de deteção desenvolvidos em parceria com o NCSC NL, conforme detalhado na publicação da GreyNoise.
Nenhum comentário
Seja o primeiro!