Krytyczne luki w Ivanti EPMM – pilna aktualizacja dla bezpieczeństwa MDM

Masz w firmie serwer MDM wystawiony do internetu? Ktoś właśnie nauczył się nim sterować zdalnie – bez logowania.

Dwie krytyczne luki zero-day w Ivanti Endpoint Manager Mobile (EPMM) – CVE-2026-1281 i CVE-2026-1340 – pozwalają na zdalne wykonanie kodu przez nieautoryzowanego napastnika. Wykorzystanie w środowisku produkcyjnym zostało potwierdzone co najmniej dla CVE-2026-1281; CISA wrzuciła ją do katalogu KEV i dała instytucjom federalnym 3 dni na remediację (deadline: 1 lutego 2026). Ivanti wydała tymczasowe łatki RPM, a trwały fix trafi dopiero do wersji 12.8.0.0 w Q1 2026.

Dlaczego to ważne? Bo EPMM to centrum dowodzenia flotą urządzeń mobilnych. Przez ten panel przelatują dane o użytkownikach, konfiguracje sieci, aplikacje, czasem nawet lokalizacje. Przejęcie EPMM to nie “jeszcze jeden serwer” – to sterownia, z której można ruszyć dalej w głąb sieci.

O co chodzi

Obie podatności to zastrzyk kodu (CWE-94), który kończy się nieautoryzowanym RCE. Według Ivanti, atak polega na dosłaniu komend bash w złośliwym żądaniu HTTP GET do funkcji In-House Application Distribution (/mifs/c/appstore/fob/) lub Android File Transfer Configuration (/mifs/c/aftstore/fob/). CVSS? 9.8, czyli sufit. Producent przyznaje, że “niewielka liczba” środowisk została trafiona w momencie publikacji. Rapid7 dodaje, że status CVE-2026-1340 jako aktywnie wykorzystywanej nie jest jasny, ale publiczny PoC RCE jest już dostępny. [1]

Kontekst

EPMM to wysoki profil. Był atakowany wcześniej: w 2023 (CVE-2023-35078) i w 2025 łańcuchem CVE-2025-4427/-4428. Trend jest stały: narzędzia do zarządzania (on-prem, często internet-facing) stają się bramą do danych i lateral movement. CISA zareagowała ekspresowo – trzydniowy termin w KEV to sygnał alarmowy, nie przypominajka w kalendarzu. [2]

Fakty i dane, bez waty

Wersje podatne obejmują co najmniej gałęzie 12.5.0.0, 12.6.0.0 i 12.7.0.0 oraz warianty 12.5.1.0 i 12.6.1.0. Ivanti udostępniła hotfixy RPM:

• RPM 12.x.0.x dla 12.5.0.x, 12.6.0.x, 12.7.0.x
• RPM 12.x.1.x dla 12.5.1.0 i 12.6.1.0

Dobra wiadomość: bez przestoju i bez wpływu na funkcje. Zła: po upgrade wersji trzeba RPM-a nałożyć ponownie – nie “przeżywa” aktualizacji. Trwała poprawka trafi do EPMM 12.8.0.0 w Q1 2026. Inne produkty Ivanti – Neurons for MDM, Endpoint Manager (EPM) i Sentry – nie są dotknięte. [6]

Skutki? Poza kontrolą nad samym serwerem, dostęp do wrażliwych danych: nazwy i maile adminów i użytkowników, informacje o zarządzanych telefonach (numery, IP, zainstalowane aplikacje, identyfikatory IMEI/MAC), a jeśli włączone – też lokalizacje GPS i z BTS. Do tego możliwość zmian konfiguracji przez API lub konsolę: polityki, SSO/LDAP, aplikacje pchane na urządzenia, ustawienia sieci/VPN. Krótko: klucze do floty.

Wykrywanie i łagodzenie skutków

Ivanti i zespoły reagowania podają prosty trop w logach Apache na serwerze EPMM (/var/log/httpd/https-access_log). Prawidłowe wywołania wspomnianych endpointów kończą się HTTP 200. Próby eksploatacji – 404. Do wstępnego polowania przydaje się regex: ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

Uwaga: napastnik mógł wyczyścić lub zmanipulować logi, więc warto przejrzeć kopie off-device/SIEM.

Ivanti opisuje typową trwałość z wcześniejszych incydentów: web shelle, reverse shelle (często “przyklejone” do stron błędów jak 401.jsp), niespodziewane WAR/JAR na dysku, długotrwałe połączenia wychodzące. Jeśli zobaczysz ślady kompromitacji, producent nie rekomenduje czyszczenia na działającym systemie. Przywróć appliance z zaufanej kopii albo zbuduj nowy i zmigruj dane. Potem: reset haseł lokalnych kont EPMM i kont serwisowych (LDAP/KDC), wymiana publicznego certyfikatu, reset haseł innych kont integracyjnych. [7]

A jeśli jeszcze nie masz dowodów ataku? Patchuj awaryjnie, poza cyklem. Rapid7 podkreśla, że exploity w naturze już krążą, a CISA wymusza tempo. To nie jest “zrobimy w oknie patch Tuesday”.

Krótki komentarz

Ta historia to podręcznikowy przykład, jak krucha bywa “warstwa zarządzania”. Jednorazowy RPM, który nie przetrwa upgrade’u, publiczny PoC dzień po disclosure i trzydniowe ultimatum regulatora – równanie, w którym najsłabszym ogniwem jest prokrastynacja. Jeśli EPMM stoi w internecie, przynajmniej ogranicz ekspozycję (ACL/WAF/VPN), włącz przekazywanie logów do SIEM i wrzuć monitoring na długie połączenia wychodzące. A w planie na Q1 dopisz bezdyskusyjne przejście na 12.8.0.0.

Podsumowanie

Zastosuj RPM teraz, sprawdź logi, szukaj nietypowych zmian w adminach, SSO/LDAP, aplikacjach push, politykach i konfiguracji sieci. Jeśli cokolwiek budzi wątpliwości – odtwórz lub postaw czysty EPMM i zacznij od resetów i wymiany certyfikatów. Potem pilnuj aktualizacji do 12.8.0.0, żeby przestać “doklejać” hotfix po każdym upgrade. I zadaj sobie proste pytanie: czy twoje MDM naprawdę musi być dostępne z całego świata?

FAQ

Czy chmurowe produkty Ivanti (Neurons for MDM, EPM, Sentry) są podatne na CVE-2026-1281 i CVE-2026-1340?

Nie, te podatności dotyczą on-premises EPMM. Ivanti potwierdza, że Neurons for MDM, EPM i Sentry nie są dotknięte.

Jak szybko dostępna będzie stała poprawka w Ivanti EPMM?

Według Ivanti stała poprawka trafi do wersji 12.8.0.0 w Q1 2026. Do tego czasu trzeba stosować hotfix RPM i ponawiać go po każdej aktualizacji. [4]

Czy do zastosowania RPM na EPMM potrzebne jest okno serwisowe?

Nie, wskazano brak przestoju i brak wpływu na funkcjonalność. Uwaga: po upgrade wersji trzeba ponownie zainstalować RPM.

Jak sprawdzić w logach EPMM, czy był atak przez te luki?

Najpierw przejrzyj /var/log/httpd/https-access_log pod kątem żądań do /mifs/c/(aft|app)store/fob/ zwracających 404 (legit trafia w 200). Jeśli masz SIEM/off-device logi, oprzyj analizę na nich – napastnik mógł manipulować logami urządzenia.

Co zrobić, jeśli znajdę ślady kompromitacji EPMM?

Najpierw odtwórz z “dobrego” backupu lub zbuduj nowy appliance i zmigruj dane. Następnie zresetuj hasła kont EPMM, kont LDAP/KDC i integracji oraz wymień publiczny certyfikat.

Źródła

• [1] https://rapid7.com/blog/post/etr-critical-ivanti-endpoint-manager-mobile-epmm-zero-day-exploited-in-the-wild-eitw-cve-2026-1281-1340
• [2] https://careers.rapid7.com/blogs/Rapid7-Blogs/critical-ivanti-endpoint-manager-mobile-epmm-zero-day-exploited-in-the-wild-cve-2026-1281-cve-2026-1340
• [3] https://socdefenders.ai/item/9eceeba5-3b23-4a68-90ec-14a59bda3afa
• [4] https://cybersecuritynews.com/ivanti-endpoint-manager-vulnerability/
• [5] https://thehackernews.com/2026/01/two-ivanti-epmm-zero-day-rce-flaws.html
• [6] https://cyberpress.org/ivanti-endpoint-manager-flaw/
• [7] https://bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/
• [8] https://helpnetsecurity.com/2026/01/30/ivanti-epmm-cve-2026-1281-cve-2026-1340/
• [9] https://cyberpress.org/multiple-ivanti-endpoint-manager-vulnerabilities/