Resumo
Uma onda coordenada de tentativas de exploração contra o zero‑day CVE‑2026‑1281 em Ivanti Endpoint Manager Mobile (EPMM) foi observada em larga escala, com dezenas de milhares de endereços IP tentando atacar instâncias vulneráveis em 9 de fevereiro de 2026.
Descoberta e escopo
Relatórios compilados por Shadowserver, GreyNoise e pesquisadores privados descrevem um pico massivo de atividade dirigido ao endpoint /mifs/c/appstore/fob/ de servidores EPMM. Em 9 de fevereiro de 2026 foram registrados mais de 28.300 endereços IP únicos tentando explorar a falha — cerca de 72% dessas tentativas originaram‑se de redes nos Estados Unidos.
"Massive increase in sources attempting Ivanti EPMM CVE-2026-1281 exploitation, with over 28.3K source IPs seen on 2026-02-09. IP data on attackers shared in our ... 20.4K IPs seen from US networks." — The Shadowserver Foundation
Vetor e mecanismo da vulnerabilidade
CVE‑2026‑1281 é descrita como uma vulnerabilidade de injeção de código em um handler Bash acessível pelo caminho citado. Trata‑se de um bug de sanitização de entrada que permite injeção via parâmetros de URL e execução remota de comandos sem autenticação (RCE), com CVSS reportado em 9.8.
Evidências de campanha e técnicas observadas
- Scanes e tentativas massivas de abuso do endpoint, com distribuição geográfica concentrada principalmente nos EUA, Reino Unido e Rússia.
- Pesquisadores da GreyNoise e Defused relataram que um suposto acessador inicial (initial access broker) implantou webshells "sleeper" em instâncias comprometidas — backdoors que permanecem dormentes até acionamento posterior.
- Mais de 80% da atividade de exploração foi associada a um único endereço IP por trás de infraestrutura de bulletproof hosting, sugerindo coordenação e possível monetização do acesso.
Impacto e riscos operacionais
Como o EPMM gerencia dispositivos móveis, aplicações e conteúdo em ambientes corporativos, a execução remota no serviço web pode conceder controle sobre funções de gestão de endpoints, possibilitar implantação de payloads a dispositivos gerenciados e facilitar movimento lateral dentro da rede. Não foram divulgados números públicos de clientes confirmadamente comprometidos.
Resposta de fornecedores e órgãos
Ivanti divulgou a existência de CVE‑2026‑1281 (junto de CVE‑2026‑1340) no final de janeiro de 2026 e disponibilizou pacotes RPM temporários. A agência norte‑americana CISA incluiu o CVE em seu catálogo Known Exploited Vulnerabilities e definiu um prazo de correção de três dias para organizações cobertas.
Recomendações práticas
- Aplique imediatamente os pacotes temporários fornecidos pela Ivanti quando aplicável e planeje a atualização para a correção permanente agendada para a versão 12.8.0.0 no primeiro trimestre de 2026.
- Correlacione logs de acesso ao endpoint /mifs/c/appstore/fob/ e procure por indicadores de requisições suspeitas ou artefatos de webshell.
- Utilize os conjuntos de IPs e eventos HTTP publicados pela Shadowserver para bloquear endereços maliciosos e priorizar varredura de sistemas expostos.
- Investigue sinais de persistência e possíveis implantações posteriores em dispositivos gerenciados por EPMM.
Limites das informações
As fontes públicas relatam contagens de IPs e padrões de infraestrutura de ataque, mas não há dados públicos detalhando quantos clientes Ivanti foram efetivamente comprometidos ou exemplos amplos de carga útil utilizada após a exploração. Também não há indicação pública, nas fontes citadas, de exploração direcionada específica contra organizações brasileiras.
Observações finais
O volume e a coordenação das tentativas — somados ao alto CVSS e à inclusão no catálogo da CISA — tornam CVE‑2026‑1281 uma prioridade para equipes de segurança que rodem EPMM. Equipes de resposta devem tratar tanto a correção quanto a detecção de sinais de comprometimento post‑exploração como ações complementares.