Články

  2. Titulní stránka
  3. Články
  4. Novinky
  5. IVANTI EPMM – Dva zero-day aktivně zneužité před vydáním záplat.
IVANTI EPMM – Dva zero-day aktivně zneužité před vydáním záplat.

IVANTI EPMM – Dva zero-day aktivně zneužité před vydáním záplat.

Novinky Date: Zobrazení: 18

IVANTI EPMM – Dva zero-day aktivně zneužité před vydáním záplat

Společnost Ivanti oznámila 29. ledna 2026 dva kritické zero-day v produktu Endpoint Manager Mobile (EPMM) – CVE-2026-1281 a CVE-2026-1340. Obě zranitelnosti byly aktivně zneužité útočníky ještě před tím, než byly veřejně oznámeny, a jedná se o vůbec nejvíce kritický typ hrozby – útočníci měli přístup k systémům dříve, než organizace mohly přijmout opatření.

Co se děje a jak to funguje

Obě zranitelnosti jsou klasifikovány jako code injection s hodnotou CVSS 9.8 (kritická). Útočníci dokáží bez jakékoli autentizace spustit libovolný kód na postižených on-premises instalacích EPMM prostřednictvím funkčních oblastí In-House Application Distribution a Android File Transfer Configuration. Zranitelnost neovlivňuje cloud-hosted verze Ivanti Neurons ani Ivanti Sentry.

Úspěšné zneužití útočníkům otevírá přístup k citlivým informacím, které EPMM uchovává – jména a e-maily administrátorů a uživatelů, čísla mobilních telefonů, IP adresy, IMEI, identifikátory zařízení a v případě aktivní lokace i GPS souřadnice. Útočníci navíc mohou prostřednictvím EPMM API měnit konfigurace spravovaných zařízení, včetně nastavení autentizace.

Image

Aktivní zneužívání a reakce

Ivanti potvrdila kompromitaci omezeného počtu zákazníků. Shadowserver Foundation zaznamenala prudký nárůst pokusů o zneužití CVE-2026-1281 z nejméně 13 zdrojových IP adres. Celosvětově je odhaleno přibližně 1 600 incidentů EPMM, přičemž je dosud nejasné, kolik z nich je already patched.

CISA přidala CVE-2026-1281 do katalogu KEV s mimořádně kratkou lhůtou – federální civilní agentury mají do 1. února 2026 buď aplikovat zmírňující opatření, nebo příslušné systémy odpojit. Rychlá reakce (namísto standardních tří týdnů) zdůrazňuje závažnost hrozby.

Postup pro organizace

Ivanti vydala dočasné RPM skripty jako záplatu – bez nutnosti přerušení provozu. Klíčové upozornění: záplata nepřežije aktualizaci verze. Pokud organizace po aplikaci patchnace aktualizuje EPMM, musí skript aplikovat znovu. Trvalá oprava přijde s verzí 12.8.0.0, plánovanou v Q1 2026.

Organizace, které mají jakoukoliv podezřelou instanci, by měly obnovit systém z backup snapshotu nebo vytvořit celou instanci znovu. Doporučuna je i okamžitá změna hesla lokálních EPMM účtů, LDAP a KDC service accounts a revokace veřejných certifikátů.

EPMM je opakovaně cílem zero-day útoků – v roce 2023 byl zneužit CVE-2023-35078, v roce 2025 řetězec CVE-2025-4427 a CVE-2025-4428. Veřejně dostupný proof-of-concept exploit existuje od 30. ledna 2026.


Zdroje: Ivanti Security Advisory, CISA KEV, Help-Net Security, Rapid7



Kontakt

Další články

NovinkyZet

Společnost Ivanti oznámila dva kritické zero-day v produktu Endpoint Manager Mobile (EPMM). Obě zranitelnosti byly aktivně zneužité útočníky ještě před tím, než byly veřejně oznámeny, a jedná se o vůb
NovinkyZet

Po uplynutí 60denní lhůty pro registraci, kterou zákon stanovil, se k Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) přihlásilo celkem 4 865 subjektů.
NovinkyZet

NÚKIB zahájil čtyřletý projekt pro posílení národních kompetencí v kybernetické bezpečnosti