Escalação para admin sem interação
A Ivanti corrigiu uma vulnerabilidade de alta gravidade na plataforma Ivanti Neurons for ITSM que permite a atacantes autenticados com privilégios baixos escalar para acesso administrativo total. A falha, rastreada como CVE-2026-9614 com CVSS 8,8, é classificada como problema de controle de acesso inadequado (CWE-284) e resulta de verificações de autorização insuficientes que permitem burlar os controles de acesso baseados em função. A correção foi liberada para instalações on-premises, e as versões em nuvem foram corrigidas automaticamente entre 24 e 25 de maio de 2026.
O mecanismo do ataque
A vulnerabilidade explora a ausência de validação adequada de permissões em determinadas funções da API do ITSM. Um atacante que possua uma conta com privilégios mínimos — como um usuário de self-service ou operador de primeiro nível — pode enviar requisições específicas para a interface web que burlam o modelo de RBAC (controle de acesso baseado em funções) do sistema. Como o vetor de ataque é AV:N/AC:L/PR:L/UI:N, a exploração é remota, de baixa complexidade e não requer interação do usuário.
Com acesso administrativo, o atacante pode acessar dados sensíveis de configuração, manipular fluxos de trabalho de TI, exfiltrar informações de tickets e incidentes, e usar o ITSM como ponto de partida para movimentação lateral em sistemas corporativos conectados. A plataforma ITSM costuma ter integrações com Active Directory, sistemas de gestão de ativos e ferramentas de automação, o que amplia significativamente o raio de impacto.
Versões afetadas e patches
A falha afeta tanto implantações on-premises quanto em nuvem do Ivanti Neurons for ITSM, com versões e patches distintos para cada modelo.
| Implantação | Versões afetadas | Patch disponível |
|---|---|---|
| On-premises | 2025.4 e anteriores | 2025.4 Patch 1, 2025.3 Patch 1, 2025.2 Patch 1 |
| Nuvem | 2026.1 e anteriores | Corrigido automaticamente (2026.1 Patch 9, 2026.2 Patch 1) |
Clientes on-premises devem aplicar os patches imediatamente. A Ivanti não identificou evidências de exploração ativa no momento da divulgação, mas a facilidade de exploração e o alto impacto potencial tornam a correção urgente. Essa não é a primeira vez que produtos Ivanti apresentam falhas graves — em junho de 2026, a empresa já havia lidado com dois zero-days críticos com exploração ativa no EPMM.
Como reduzir o risco
Além de aplicar os patches, organizações que utilizam Ivanti Neurons for ITSM devem restringir o acesso às interfaces administrativas via segmentação de rede e VPN. Audite contas com privilégios baixos em busca de atividade suspeita, especialmente requisições anômalas para funções administrativas. Monitore logs de acesso por padrões incomuns de escalação de privilégios e revise regularmente o modelo de RBAC para garantir que cada função tenha apenas as permissões estritamente necessárias. Para ambientes on-premises, implemente autenticação multifator obrigatória no painel do ITSM e mantenha o firmware sempre atualizado.