Ivanti telah mengungkapkan dua kerentanan kritis di Ivanti Endpoint Manager Mobile (EPMM), yang dilacak sebagai CVE-2026-1281 dan CVE-2026-1340, yang dieksploitasi dalam serangan zero-day.
Kelemahannya adalah kerentanan injeksi kode yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer pada perangkat yang rentan tanpa autentikasi. Kedua kerentanan tersebut memiliki skor CVSS 9,8 dan dinilai kritis.
“Kami mengetahui sejumlah kecil pelanggan yang solusinya telah dieksploitasi pada saat pengungkapan,” memperingatkan Ivanti.
Ivanti telah merilis skrip RPM untuk mengurangi kerentanan pada versi EPMM yang terpengaruh:
- Gunakan RPM 12.x.0.x untuk EPMM versi 12.5.0.x, 12.6.0.x, dan 12.7.0.x
- Gunakan RPM 12.x.1.x untuk EPMM versi 12.5.1.0 dan 12.6.1.0
Perusahaan mengatakan tidak diperlukan waktu henti untuk menerapkan tambalan dan tidak ada dampak fungsional, jadi sangat disarankan untuk menerapkannya sesegera mungkin.
Namun, perusahaan memperingatkan bahwa perbaikan terbaru tidak bertahan dalam peningkatan versi dan harus diterapkan kembali jika alat ditingkatkan sebelum perbaikan permanen tersedia.
Kerentanan akan diperbaiki secara permanen di EPMM versi 12.8.0.0, yang akan dirilis nanti pada Q1 2026.
Ivanti mengatakan eksploitasi yang berhasil memungkinkan penyerang mengeksekusi kode arbitrer pada peralatan EPMM, sehingga memungkinkan penyerang mengakses berbagai informasi yang tersimpan di platform.
Informasi ini mencakup nama administrator dan pengguna, nama pengguna, dan alamat email, serta informasi tentang perangkat seluler yang dikelola seperti nomor telepon, alamat IP, aplikasi yang diinstal, dan pengidentifikasi perangkat seperti alamat IMEI dan MAC.
Jika pelacakan lokasi diaktifkan, penyerang juga dapat mengakses data lokasi perangkat, termasuk koordinat GPS dan lokasi menara seluler terdekat.
Ivanti memperingatkan bahwa penyerang juga dapat menggunakan API EPMM atau konsol web untuk membuat perubahan konfigurasi pada perangkat, termasuk pengaturan otentikasi.
Zero-day dieksploitasi secara aktif
Penasihat Ivanti menyatakan bahwa kedua kerentanan tersebut dieksploitasi sebagai zero-day, namun perusahaan tidak memiliki indikator kompromi (IOC) yang dapat diandalkan karena sedikitnya jumlah pelanggan yang terkena dampak.
Namun, perusahaan telah menerbitkan panduan teknis untuk mendeteksi perilaku eksploitasi dan pasca eksploitasi yang dapat digunakan admin.
Ivanti mengatakan kedua kerentanan dipicu melalui fitur Distribusi Aplikasi In-House dan Konfigurasi Transfer File Android, dengan percobaan atau eksploitasi yang berhasil muncul di log akses Apache di /var/log/httpd/https-access_log.
Untuk membantu pembela HAM mengidentifikasi aktivitas mencurigakan, Ivanti memberikan ekspresi reguler yang dapat digunakan untuk mencari aktivitas eksploitasi di log akses:
^(?!127.0.0.1:d+ .*$).*?/mifs/c/(aft|app)store/fob/.*?404
Ekspresi tersebut akan mencantumkan entri log yang cocok dengan permintaan eksternal (bukan lalu lintas localhost) yang menargetkan titik akhir rentan yang mengembalikan kode respons HTTP 404.
Menurut Ivanti, permintaan sah ke titik akhir ini biasanya menghasilkan respons HTTP 200. Upaya eksploitasi, baik berhasil atau dicoba, menghasilkan kesalahan 404, menjadikan entri ini sebagai indikator kuat bahwa perangkat telah ditargetkan.
Namun, Ivanti memperingatkan bahwa setelah perangkat disusupi, penyerang dapat mengubah atau menghapus log untuk menyembunyikan aktivitas mereka. Jika log di luar perangkat tersedia, log tersebut harus ditinjau.
Jika ada perangkat yang diduga disusupi, Ivanti tidak menyarankan admin membersihkan sistem.
Sebaliknya, pelanggan harus memulihkan EPMM dari cadangan yang diketahui baik dan diambil sebelum eksploitasi terjadi atau membangun kembali peralatan dan memigrasikan data ke sistem pengganti.
Setelah memulihkan sistem, Ivanity menyarankan untuk melakukan tindakan berikut:
- Setel ulang kata sandi akun EPMM lokal mana pun.
- Reset kata sandi untuk akun layanan LDAP dan/atau KDC yang melakukan pencarian. https://help.ivanti.com/mi/help/en_us/core/11.x/gsg/CoreGettingStarted/Configuring_LDAP_servers.htm
- Cabut dan ganti sertifikat publik yang digunakan untuk EPMM Anda.
- Reset kata sandi untuk akun layanan internal atau eksternal lainnya yang dikonfigurasi dengan solusi EPMM.
Meskipun kerentanan hanya memengaruhi Ivanti Endpoint Manager Mobile (EPMM), perusahaan merekomendasikan untuk meninjau log Sentry juga.
“Meskipun EPMM dapat dibatasi pada DMZ dengan sedikit atau tanpa akses ke seluruh jaringan perusahaan, Sentry secara khusus ditujukan untuk menyalurkan jenis lalu lintas tertentu dari perangkat seluler ke aset jaringan internal,” demikian bunyinya. Panduan analisis Ivanti untuk CVE-2026-1281 & CVE-2026-1340.
“Jika Anda mencurigai peralatan EPMM Anda terkena dampak, kami menyarankan Anda meninjau sistem yang dapat diakses Sentry untuk mengetahui potensi pengintaian atau pergerakan lateral.”
Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan CVE-2026-1281 ke dalamnya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahuimengonfirmasi bahwa kelemahan tersebut sedang dieksploitasi secara aktif.
Badan-badan sipil federal telah diberikan waktu hingga 1 Februari 2026, untuk menerapkan mitigasi vendor atau menghentikan penggunaan sistem yang rentan berdasarkan Petunjuk Operasional yang Mengikat 22-01.
Tidak jelas mengapa CISA tidak menambahkan kedua kerentanan tersebut ke KEV, dan BleepingComputer menghubungi Ivanti untuk mengonfirmasi bahwa keduanya telah dieksploitasi.
Pada bulan September, CISA menerbitkan analisis perangkat malware dikerahkan dalam serangan yang mengeksploitasi dua zero-day Ivanti Endpoint Manager Mobile (EPMM) lainnya. Kelemahan tersebut diperbaiki pada Mei 2025, namun sebelumnya juga dieksploitasi dalam serangan zero-day.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
