news 2026/7/15 0:59:10

Ivanti 提醒注意已遭利用的两个 EPMM 漏洞

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Ivanti 提醒注意已遭利用的两个 EPMM 漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Ivanti披露了位于移动终端管理器 (EPMM) 中的两个严重漏洞CVE-2026-1281和CVE-2026-1340,它们已遭在野利用。

这两个漏洞都是代码注入漏洞,CVSS评分均为9.8,可导致远程攻击者无需身份验证就能在易受攻击设备上执行任意代码。Ivanti 公司提醒称,“在披露时发现数量有限的客户解决方案遭利用”。Ivanti 已发布RPM脚本,缓解受影响 EPMM 版本中的漏洞:

  • 对于EPMM版本12.5.0.x、12.6.0.x和12.7.0.x,应使用 RPM 12.x.0.x。

  • 对于EPMM版本12.5.1.0和12.6.1.0,应使用RPM 12.x.1.x。

Ivanti 公司表示,应用这些补丁无需停机且不会对功能造成影响,因此强烈建议尽快安装。不过该公司提醒称热修复方案无法通过版本更新,因此在永久性补丁推出前升级的设备必须重新应用补丁。

这两个漏洞将在 EPMM 12.8.0.0 中永久修复,该版本将在2026年第一季度发布。Ivanti 公司表示成功利用这两个漏洞可导致攻击者在 EPMM 设备上执行任意代码,导致攻击者访问存储在平台上的大量信息如管理员和用户姓名、用户名、邮件地址;关于移动管理设备的信息如电话号码、IP地址、已安装应用;以及设备标识符如 IMEI和MAC地址。

如启用位置追踪功能,则攻击者还可访问设备位置数据如 GPS 坐标和最近的塔台位置。Ivanti 公司提醒称攻击者还可使用 EPMM API 或 web 控制台修改设备配置如认证设置。

已遭活跃利用的 0day 漏洞

Ivanti 公司发布安全公告提到,这两个0day漏洞已遭利用,但由于受影响的客户数量少,因此并没有可靠的入侵指标。不过,该公司已发布检测利用和利用后行为的技术指南供管理员使用。

Ivanti 公司表示,这两个漏洞可通过“内部应用程序分发” 和 “Android 文件传输配置”功能触发,利用尝试或成功利用会出现在在 Apache 访问日志 /var/log/httpd/https-access_log中。

为了帮助防御人员识别可疑活动,Ivanti 公司提供了可用于查找访问日志中利用活动的正则表达式:

^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

该表达式将列出匹配针对易受攻击端点的、返回 404 HTTP 响应代码的外部请求(非本地主机流量)的日志条目。Ivanti 公司提到,这些端点的合法请求一般会返回 HTTP 200 响应。而不管成功与否的利用尝试都会返回404错误,因此这些条目成为设备已被针对的强烈指标。

不过,Ivanti 公司提醒称,一旦设备遭攻陷,攻击者可修改或删除日志以隐藏其活动。如果存在设备外日志,则应该审计这些日志。如果怀疑设备遭攻陷,Ivanti 公司不建议管理员清理系统,而是在利用发生前或从已知非恶意的备份中恢复 EPMM,或者重建该设备并将设备迁移到一个新系统。

恢复系统后,Ivanti 公司建议执行如下操作:

  • 重置任何本地 EPMM 账户的密码。

  • 重置 LDAP 的密码以及/或执行查询的 KDC 服务账户。

  • 撤销和替换用于EPMM 的公共证书。

  • 为配置了 EPMM 解决方案的其它内部或外部服务账户重置密码。

虽然这两个漏洞仅影响 EPMM,但 Ivanti 公司建议同时审计 Sentry 日志。Ivanti 公司在分析指南中提到,“虽然 EPMM 可被限制到隔离区中,对企业其它网络的访问权限很少或没有,但 Sentry 专为从移动设备将特定的流量类型隧道传输到内部网络资产而设定。如果怀疑 EPMM 设备受影响,则建议查看 Sentry 可访问、以实施侦查或横向移动的系统。”

美国网络安全和基础设施安全局 (CISA) 已将 CVE-2025-1281 纳入 KEV 清单,说明该漏洞已遭活跃利用。CISA 要求联邦民事机构在2026年2月1日前应用厂商缓解措施或停止使用易受攻击系统。目前尚不清楚CISA为何未将另外一个漏洞纳入KEV的原因。去年9月份,CISA 发布关于牵涉利用 Ivanti 另外两个 0day 漏洞的恶意软件包分析文章,这两个漏洞已于2025年5月修复,但此前也曾用于 0day 攻击活动中。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

Ivanti提醒注意 EPM 中严重的代码执行漏洞

Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据

Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关

Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞

Ivanti修复Endpoint Manager中的多个严重漏洞

原文链接

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 20:22:42

SSM计算机毕设之基于ssm的城市生活e家平台的设计与开发在线报修与维修反馈 在线评价(完整前后端代码+说明文档+LW,调试定制等)

博主介绍:✌️码农一枚 ,专注于大学生项目实战开发、讲解和毕业🚢文撰写修改等。全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战 ✌️技术范围:&am…

作者头像 李华
网站建设 2026/7/12 21:04:49

Java面试通关指南(六):数据库王者之战:MySQL深度优化与分布式实践

🔥 前言 在互联网企业的技术面试中,MySQL是必考的重中之重。掌握MySQL不仅是基础,更是区分普通开发者与高级工程师的关键。本文将带你深入MySQL内核,探索从单机优化到分布式架构的完整知识体系。 一、索引背后的B树秘密 面试高…

作者头像 李华
网站建设 2026/7/1 22:15:38

P0904AK桌面接口模块

P0904AK 桌面接口模块产品特点开头: P0904AK 桌面接口模块是一款用于工业自动化控制系统的接口扩展单元,主要提供现场设备与主控系统之间的便捷连接与互动接口,旨在简化设备接入、提高系统集成效率。产品特点:提供多种常用接口类型…

作者头像 李华
网站建设 2026/7/6 22:47:38

中国人民大学在迭代13个版本后推出的大模型书籍,简直不要太详细,太适合入门大模型了(附PDF)

中国人大在收录900余篇参考文献,迭代13个版本后,终于出版了这本大模型中文版! 与英文综述文章定位不同,这本书更注重为初学者提供关于大模型技术的全面了解,是专门为深度学习基础的高年级本科生以及低年级研究生使用&a…

作者头像 李华
网站建设 2026/7/14 21:17:57

科技成果转化新引擎——智能顾问赋能全链条服务生态

在当今创新驱动发展的时代,科技成果的转化效率和质量直接关系到国家竞争力和经济发展潜力。然而,传统成果转化模式存在诸多痛点:技术评估门槛高、市场需求匹配不精准、成果推广能力弱以及筛选与资源对接依赖人工等问题,这些问题严…

作者头像 李华
网站建设 2026/7/8 8:40:12

STM32晶振频率怎么选

一、高速晶振(HSE):8MHz是“官方推荐”主流选择:STM32官方例程、开发板默认用8MHz,通过内部PLL倍频到72MHz(如STM32F1系列)。为啥选它:兼容性最好,资料多,出问…

作者头像 李华