Duas vulnerabilidades críticas de injeção de código no Ivanti Endpoint Manager Mobile (EPMM), rastreadas como CVE-2026-1281 e CVE-2026-1340, estão sendo exploradas ativamente como zero-days na natureza. Ambas registram CVSS 9.8 e permitem execução remota de código sem necessidade de autenticação. A CISA incluiu o CVE-2026-1281 no catálogo de vulnerabilidades exploradas com conhecimento (KEV) com prazo de apenas três dias para correção em sistemas federais.
O que é o Ivanti EPMM
O Ivanti EPMM (antigo MobileIron Core) é uma plataforma de gerenciamento de dispositivos móveis (MDM) utilizada por empresas de médio e grande porte para gerenciar smartphones e tablets corporativos, distribuir aplicativos internos, controlar políticas de segurança e gerenciar credenciais de acesso VPN. Por sua posição privilegiada na rede — com acesso a dados de dispositivos, sistemas de autenticação e recursos internos —, o EPMM tornou-se alvo recorrente de grupos de ameaças avançadas e ransomware.
Conforme levantamento da Rapid7, esta é a terceira onda de zero-days no EPMM em três anos consecutivos: CVE-2023-35078 em 2023, CVE-2025-4427 e CVE-2025-4428 em 2025, e agora CVE-2026-1281 e CVE-2026-1340 em 2026 (Rapid7). O histórico repetitivo de falhas críticas levanta questionamentos sobre a arquitetura de segurança do produto e a superfície de ataque que ele expõe em redes corporativas.
Como funcionam as falhas
Ambas as vulnerabilidades são classificadas como CWE-94 (controle inadequado de geração de código) e exploram tratamento insuficiente de requisições HTTP em scripts Bash do EPMM. O mecanismo central é um abuso da funcionalidade de arithmetic expansion do interpretador Bash. O atacante manipula variáveis de ambiente aninhadas de forma que o shell execute comandos arbitrários do sistema operacional ao processar operações aritméticas.
Um atacante não autenticado pode enviar uma requisição HTTP GET maliciosa para os endpoints de distribuição de aplicativos internos ou transferência de arquivos Android — especificamente /mifs/c/appstore/fob/ e /mifs/c/aftstore/fob/ — e injetar comandos Bash que são interpretados diretamente pelo servidor. A exploração não exige credenciais, não requer interação do usuário e funciona remotamente pela internet (watchTowr).
A Unit 42, divisão de inteligência de ameaças da Palo Alto Networks, documentou tentativas de exploração ampas e majoritariamente automatizadas contra instâncias do EPMM expostas na internet. Os ataques foram detectados por assinaturas de tráfego HTTP anômalo dirigido aos endpoints vulneráveis (Unit 42).
Cronologia dos incidentes
- 29 de janeiro de 2026 — Ivanti divulga advisory de segurança para CVE-2026-1281 e CVE-2026-1340, confirmando que a exploração ativa na natureza ocorreu antes da publicação da correção.
- 29 de janeiro de 2026 — CISA adiciona CVE-2026-1281 ao catálogo KEV com prazo de remediação de três dias (até 1º de fevereiro de 2026), indicando risco extremo para agências federais dos Estados Unidos.
- 30 de janeiro de 2026 — Pesquisadores da watchTowr publicam análise técnica detalhada com proof-of-concept funcional que demonstra a exploração via Bash arithmetic expansion nos endpoints do EPMM.
- 19 de março de 2026 — Ivanti atualiza orientações de detecção com regex específica para logs do daemon HTTP:
^.*\/mifs\/c\/\(aft\|app\)store.*theValue\?\?.*. - 24 de março de 2026 — Unit 42 encerra monitoramento ativo da ameaça, sinalizando que o pico de exploração automatizada já havia ocorrido.
- Maio de 2026 — Ivanti lança novo advisory com correções para cinco vulnerabilidades adicionais de alta severidade no EPMM, reforçando a necessidade de patches contínuos.
Impacto da exploração
A comprometida completa do appliance EPMM concede ao atacante acesso a dados pessoais de usuários de dispositivos móveis gerenciados (nomes, endereços de e-mail, números de telefone), dados de geolocalização GPS, informações de identificação única de dispositivos e credenciais corporativas armazenadas no sistema. A partir dessa posição privilegiada na rede, o atacante pode realizar movimento lateral para sistemas conectados, acessar recursos internos da infraestrutura e comprometer cadeias inteiras de dispositivos corporativos (Horizon3.ai).
| CVE | CVSS | Tipo | Autenticação | Status de exploração |
|---|---|---|---|---|
| CVE-2026-1281 | 9.8 | Injeção de código (CWE-94) | Não requer | Explorado como zero-day |
| CVE-2026-1340 | 9.8 | Injeção de código (CWE-94) | Não requer | Exploração em análise |
O que fazer agora
Organizações que executam Ivanti EPMM devem aplicar as correções emergenciais disponibilizadas pelo fabricante fora do ciclo normal de patches. As versões 12.7.0.0, 12.6.0.0 e 12.5.0.0 e anteriores requerem o pacote RPM 12.x.0.x. Já as versões 12.6.1.0 e 12.5.1.0 requerem o RPM 12.x.1.x. A Ivanti publicou o advisory completo com links para download dos patches em seus fóruns oficiais de segurança (Ivanti).
Administradores de segurança devem revisar imediatamente os logs do daemon HTTP do EPMM utilizando a regex fornecida pelo fabricante para identificar tentativas passadas ou em andamento de exploração. Instâncias expostas diretamente à internet que ainda não receberam as correções devem ser isoladas da rede imediatamente. A Horizon3.ai disponibilizou um teste automatizado de verificação através da plataforma NodeZero Rapid Response para confirmar se instâncias específicas permanecem vulneráveis após a aplicação dos patches (Horizon3.ai).
O padrão repetitivo de zero-days no Ivanti EPMM — três anos consecutivos com falhas críticas sob exploração ativa — reforça a necessidade de arquiteturas de rede que minimizem a superfície de ataque de appliances de gerenciamento móvel. Segmentação de rede, monitoramento contínuo de tráfego HTTP para endpoints administrativos e restrição de acesso por IP são medidas defensivas essenciais para reduzir o risco em implantações corporativas.