Campanha massiva de RCE no Ivanti EPMM é dominada por um único IP
Uma campanha de exploração em massa contra uma vulnerabilidade crítica no Ivanti Endpoint Manager Mobile (EPMM) está sendo conduzida majoritariamente a partir de um único endereço IP, revelando uma operação centralizada e automatizada. A falha, CVE-2026-1281, com pontuação CVSS 9.8, permite execução remota de código (RCE) sem autenticação e está no catálogo de vulnerabilidades exploradas ativamente da CISA.
O que mudou agora
Novos dados da GreyNoise, coletados entre 1 e 9 de fevereiro, mostram que 83% das 417 sessões de exploração observadas vieram do IP 193[.]24[.]123[.]42. Em 8 de fevereiro, houve um pico de 269 sessões, cerca de 13 vezes a média diária anterior. Este IP está registrado para a empresa russa PROSPERO OOO (AS200593), rotulada como hospedagem "à prova de balas" pela Censys.
Vetor e exploração
O CVE-2026-1281 permite que atacantes executem comandos no sistema explorando a expansão aritmética do Bash em scripts de entrega de arquivos do backend do EPMM. Uma segunda falha, CVE-2026-1340 (também CVSS 9.8), permite execução de código similar em outro componente. O atacante principal rotaciona centenas de strings de user-agent, indicando exploração automatizada em massa. O mesmo IP também está ligado a ataques contra Oracle WebLogic Server, GNU Inetutils telnetd e GLPI.
Impacto e alcance
Autoridades holandesas já confirmaram violações na Autoridade Holandesa de Proteção de Dados (AP) e no Conselho para o Judiciário (RVDR), indicando que os ataques estavam em andamento antes que muitas organizações aplicassem os patches. Cerca de 85% dos payloads observados usam callbacks DNS para confirmar a execução de código, um comportamento típico de "access brokers" iniciais. Relatórios também descrevem webshells "dormentes" em /mifs/403.jsp que permanecem inativas até serem acionadas, o que significa que sistemas já corrigidos podem permanecer comprometidos se o acesso foi obtido antes da remediação.
Lacunas nos IOCs e riscos
O principal IP ofensor estava ausente de muitos Indicadores de Comprometimento (IOCs) amplamente compartilhados no início da campanha. Alguns IOCs apontavam para nós de saída da VPN Windscribe ou roteadores residenciais que não estavam direcionando o EPMM. Organizações que bloquearam apenas esses IPs, mas não a rede AS200593, podem ter perdido a principal fonte da ameaça. A análise da GreyNoise sugere um modelo de ataque em camadas, onde o IP principal atua como um "tier 1" altamente ativo.
A exploração ativa e massiva de falhas críticas em um produto de gerenciamento de endpoints amplamente utilizado como o Ivanti EPMM representa um risco operacional significativo. A concentração do tráfego malicioso em uma única infraestrutura facilita medidas defensivas proativas, mas também destaca a sofisticação e o foco dos atacantes. A recomendação imediata para administradores é aplicar os patches fornecidos pela Ivanti, verificar a presença de webshells mesmo em sistemas corrigidos e considerar o bloqueio da rede AS200593 como medida de mitigação adicional.