Pengamatan intelijen ancaman menunjukkan bahwa satu pelaku ancaman bertanggung jawab atas sebagian besar eksploitasi aktif dua kerentanan kritis di Ivanti Endpoint Manager Mobile (EPMM), yang dilacak sebagai CVE-2026-21962 dan CVE-2026-24061.
Masalah keamanan telah ditandai sebagai masalah yang aktif dieksploitasi dalam serangan zero-day di penasihat keamanan Ivanti, tempat perusahaan juga mengumumkan perbaikan terbaru.
Kedua kelemahan tersebut mendapat tingkat keparahan kritis dan memungkinkan penyerang memasukkan kode tanpa autentikasi, sehingga menyebabkan eksekusi kode jarak jauh (RCE) pada sistem yang rentan.
Sebuah alamat IP tunggal yang dihosting pada infrastruktur antipeluru bertanggung jawab atas lebih dari 83% aktivitas eksploitasi yang terkait dengan dua kerentanan tersebut, kata perusahaan intelijen internet yang berfokus pada ancaman, GreyNoise.
Antara tanggal 1 dan 9 Februari, platform pemantauan mengamati 417 sesi eksploitasi yang berasal dari 8 alamat IP sumber unik, dan berpusat pada CVE-2026-21962 dan CVE-2026-24061.
Volume tertinggi, 83%, berasal dari 193[.]24[.]123[.]42, diselenggarakan oleh PROSPERO OOO (AS200593), yang oleh analis Censys ditandai sebagai sistem otonom antipeluru yang digunakan untuk menargetkan berbagai produk perangkat lunak.
Sumber: GreyNoise
Lonjakan tajam terjadi pada 8 Februari, dengan tercatat 269 sesi dalam satu hari. Angka tersebut hampir 13 kali lipat rata-rata harian dari 22 sesi, kata GreyNoise.
Dari 417 sesi eksploitasi, 354 (85%) menggunakan callback DNS gaya OAST untuk memverifikasi kemampuan eksekusi perintah, yang menunjukkan aktivitas broker akses awal.
Menariknya, beberapa indikator kompromi (IoC) yang diterbitkan menyertakan alamat IP untuk Windscribe VPN (185[.]212[.]171[.]0/24) hadir dalam telemetri GreyNoise sebagai pemindaian instans Oracle WebLogic, tetapi tidak ada aktivitas eksploitasi Ivanti.
Itu catatan peneliti bahwa alamat IP PROSPERO OOO yang mereka lihat “tidak ada dalam daftar IOC yang dipublikasikan secara luas, yang berarti pembela HAM yang hanya memblokir indikator yang dipublikasikan kemungkinan besar tidak memiliki sumber eksploitasi yang dominan.”
IP ini tidak terbatas pada penargetan Ivanti, karena secara bersamaan mengeksploitasi tiga kerentanan lainnya: CVE-2026-21962 di Oracle WebLogic, CVE-2026-24061 di GNU Inetutils Telnetd, dan CVE-2025-24799 di GLPI.
Cacat Oracle WebLogic mempunyai andil terbesar dalam volume sesi, mengerdilkan sisanya dengan 2.902 sesi, diikuti oleh masalah Telnetd dengan 497 sesi.
Aktivitas eksploitasi tampak sepenuhnya otomatis, berputar di antara tiga ratus agen pengguna.
Sumber: GreyNoise
Perbaikan Ivanti untuk CVE-2026-1281 dan CVE-2026-1340 tidak bersifat permanen. Perusahaan berjanji akan merilis patch lengkap pada kuartal pertama tahun ini, dengan dirilisnya EPMM versi 12.8.0.0.
Sampai saat itu, itu direkomendasikan untuk menggunakan paket RPM 12.x.0.x untuk EPMM versi 12.5.0.x, 12.6.0.x, dan 12.7.0.x, serta RPM 12.x.1.x untuk EPMM versi 12.5.1.0 dan 12.6.1.0.
Vendor mencatat bahwa pendekatan paling konservatif adalah dengan membangun instance EPMM pengganti dan memigrasikan semua data ke sana. Petunjuk tentang cara melakukan itu adalah tersedia di sini.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
