Categories: CYBERSEC GERAL

Ivanti EPMM: um único ator concentra 83% das explorações de RCE, diz GreyNoise

Telemetria da GreyNoise indica que a exploração ativa de duas falhas críticas no Ivanti Endpoint Manager Mobile (EPMM) está fortemente concentrada: um único IP em infraestrutura “bulletproof” teria respondido por mais de 83% das sessões de exploração observadas.

O que está acontecendo

  • As vulnerabilidades (CVE-2026-1281 e CVE-2026-1340) permitem injeção de código sem autenticação, resultando em execução remota de código (RCE).
  • Entre 1º e 9 de fevereiro, a GreyNoise registrou 417 sessões de exploração a partir de 8 IPs, com pico de 269 sessões em um único dia.
  • A maior parte das tentativas usou callbacks DNS do tipo OAST para validar execução de comandos — sinal típico de atividade automatizada e/ou de brokers de acesso inicial.

Por que importa

Bloquear apenas indicadores de comprometimento (IOCs) amplamente divulgados pode não ser suficiente: o IP dominante apontado pela GreyNoise não estaria presente em listas populares, o que pode deixar ambientes expostos mesmo após medidas reativas.

Como mitigar agora

  • Aplique imediatamente os hotfixes/mitigações recomendadas pela Ivanti para EPMM.
  • Revise sinais de exploração anteriores ao patch (logs, artefatos e scripts de detecção disponibilizados pelo fornecedor).
  • Considere a abordagem mais conservadora indicada pela Ivanti: reconstruir uma instância EPMM e migrar os dados.

Fonte: https://www.bleepingcomputer.com/news/security/one-threat-actor-responsible-for-83-percent-of-recent-ivanti-rce-attacks/

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

16 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

16 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

16 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

20 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

20 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

20 horas ago