Ivanti公司已修复其端点管理器移动版(EPMM)产品中的两个关键零日漏洞,这些漏洞已被恶意利用,延续了企业IT供应商在一月份遭遇的严峻安全事件。
2025年1月,数万用户被敦促修补Fortinet零日漏洞,同时Ivanti客户也在进行同样的操作。今年情况几乎没有改变,Fortinet修补了多个单点登录(SSO)漏洞,而Ivanti则为另一对零日漏洞发布了修复程序。
这两个漏洞被追踪为CVE-2026-1281和CVE-2026-1340,均影响Ivanti端点管理器移动版(EPMM)。它们的CVSS评分都接近满分9.8分,允许未经身份验证的远程代码执行(RCE)——这是最严重的安全威胁类型。
该安全公司在其公告中表示:"我们了解到在披露时有极少数客户的解决方案已被利用。这个漏洞不会影响任何其他Ivanti产品,包括任何云产品,如用于MDM的Ivanti Neurons。Ivanti端点管理器(EPM)是不同的产品,也不受这些漏洞影响。使用带有Sentry的Ivanti云产品的客户也不受此漏洞影响。"
这类RCE漏洞可能导致各种恶意后果。攻击者可能在组织网络中横向移动、更改配置,并将自己设置为管理员。供应商警告说,这还可能授予对某些数据的访问权限。
Ivanti表示,可获取的信息类型可能包括EPMM管理员和设备用户的基本个人信息,以及移动设备信息,如电话号码和GPS位置。
对于寻找入侵指标(IOCs)的人来说可能会失望。由于已知受影响客户数量较少,Ivanti没有任何可靠的指标。
不过,该公司确实提供了技术分析页面,其中包含有关如何检测潜在漏洞利用的更多一般信息。
Apache访问日志是威胁猎手的良好起点。具体来说,他们应该关注内部应用程序分发和Android文件传输配置功能。合法流量会导致200 HTTP响应代码,而潜在的漏洞利用活动可能导致404错误。
Ivanti建议:"我们建议审查这些以及任何其他带有bash命令参数的GET请求。"
这不是EPMM最近第一次遭受RCE漏洞攻击,之前的分析显示攻击者倾向于使用两种常见的持久化方法。最常见的是引入或修改Web shell,通常针对错误页面如401.jsp。
"对这些页面使用POST方法或带参数的任何请求都应被视为高度可疑。"
Ivanti还建议防御者注意系统中引入的意外WAR或JAR文件,因为这可能是攻击者部署反向shell连接的迹象。
EPMM通常不会建立出站网络连接,因此防火墙日志中的任何此类迹象都应被视为需要调查的信号。
如果客户确实发现了入侵迹象,Ivanti表示最好直接从备份恢复——不要试图清理系统——然后升级到最新的相关版本。
或者,如果备份路线不可行,Ivanti建议构建替换的EPMM设备并将数据迁移到其上。
watchTowr公司首席执行官Benjamin Harris表示,该公司"广泛"的运行EPMM的客户属于高价值行业,警告其他人要快速行动。
他说:"我们知道一月份似乎太平静了。Ivanti的EPMM解决方案,之前零日漏洞事件的中心点,再次受到看似有能力且资源充足的威胁行为者的野外利用。CVE-2026-1281和CVE-2026-1340——Ivanti端点管理器移动版(EPMM)中的未经身份验证RCE漏洞——代表了最坏的情况,威胁行为者正在积极入侵系统并部署后门。虽然Ivanti提供了补丁,但仅应用补丁是不够的。威胁行为者一直在将这些漏洞作为零日漏洞利用,截至披露时向互联网暴露易受攻击实例的组织必须认为它们已被入侵,拆除基础设施,并启动事件响应流程。"
Q&A
Q1:CVE-2026-1281和CVE-2026-1340漏洞有多严重?
A:这两个漏洞都被评为CVSS 9.8分(接近满分),允许未经身份验证的远程代码执行,是最严重的安全威胁类型。攻击者可以通过这些漏洞在网络中横向移动、更改配置、获取管理员权限,并访问包括个人信息、电话号码和GPS位置在内的敏感数据。
Q2:如何检测EPMM系统是否被攻击?
A:可以通过检查Apache访问日志来发现攻击迹象,特别关注内部应用程序分发和Android文件传输配置功能。合法流量显示200响应码,而攻击可能显示404错误。还要注意带有bash命令参数的GET请求、对错误页面的POST请求、意外的WAR或JAR文件,以及异常的出站网络连接。
Q3:发现EPMM系统被入侵后应该怎么办?
A:Ivanti建议不要尝试清理被入侵的系统,而是直接从备份恢复,然后升级到最新版本。如果无法使用备份,建议构建新的EPMM设备并将数据迁移过去。由于威胁行为者可能已部署后门,组织应启动完整的事件响应流程。
