Ivanti EPMM: um único ator concentra 83% das explorações de RCE, diz GreyNoise

Telemetria da GreyNoise indica que a exploração ativa de duas falhas críticas no Ivanti Endpoint Manager Mobile (EPMM) está fortemente concentrada: um único IP em infraestrutura “bulletproof” teria respondido por mais de 83% das sessões de exploração observadas.

O que está acontecendo

• As vulnerabilidades (CVE-2026-1281 e CVE-2026-1340) permitem injeção de código sem autenticação, resultando em execução remota de código (RCE).
• Entre 1º e 9 de fevereiro, a GreyNoise registrou 417 sessões de exploração a partir de 8 IPs, com pico de 269 sessões em um único dia.
• A maior parte das tentativas usou callbacks DNS do tipo OAST para validar execução de comandos — sinal típico de atividade automatizada e/ou de brokers de acesso inicial.

Por que importa

Bloquear apenas indicadores de comprometimento (IOCs) amplamente divulgados pode não ser suficiente: o IP dominante apontado pela GreyNoise não estaria presente em listas populares, o que pode deixar ambientes expostos mesmo após medidas reativas.

Como mitigar agora

• Aplique imediatamente os hotfixes/mitigações recomendadas pela Ivanti para EPMM.
• Revise sinais de exploração anteriores ao patch (logs, artefatos e scripts de detecção disponibilizados pelo fornecedor).
• Considere a abordagem mais conservadora indicada pela Ivanti: reconstruir uma instância EPMM e migrar os dados.

Fonte: https://www.bleepingcomputer.com/news/security/one-threat-actor-responsible-for-83-percent-of-recent-ivanti-rce-attacks/