Kritične Ivanti EPMM zero-day ranjivosti omogućavaju udaljeno izvršavanje koda
Istraživači su prijavili aktivnu zloupotrebu dve kritične zero-day ranjivosti u Ivanti Endpoint Manager Mobile rešenju, označenih kao CVE-2026-1281 i CVE-2026-1340. Propusti se nalaze u komponentama dostupnim pre prijave i omogućavaju napadačima da bez kredencijala izvršavaju komande na serveru. U opisanom lancu napada korišćeni su automatizovano skeniranje, Java webshell, izviđanje sistema i brzo izvlačenje podataka iz baze i konfiguracionih fajlova.
Pojašnjenje
Ovo je ozbiljan rizik za firme koje imaju javno dostupne EPMM instance, jer napadač može da preuzme kontrolu nad serverom i izvuče osetljive podatke za svega nekoliko sekundi. Poseban problem je to što brzina napada i mali broj tragova ostavljaju vrlo kratak prostor za reakciju.
Preporuke
- Odmah primeniti dostupne zakrpe za Ivanti EPMM
- Ukloniti pristup management interfejsima sa interneta gde god je moguće
- Pregledati server za sumnjive HTTP zahteve, izmene 403.jsp stranice i nepoznate fajlove
- Proveriti da li je bilo pristupa MIFs bazi i izvoza podataka iz /mi/filesystem direktorijuma
- Rotirati administratorske lozinke i druge osetljive kredencijale ako postoji sumnja na kompromitaciju