Ivanti 揭露了 Ivanti Endpoint Manager Mobile (EPMM) 中的兩個嚴重漏洞，編號分別為 CVE-2026-1281 和 CVE-2026-1340，這些漏洞已被用於零時日攻擊。這些漏洞屬於程式碼注入漏洞，允許遠端攻擊者在未經身份驗證的情況下在易受攻擊的裝置上執行任意程式碼。這兩個漏洞的 CVSS 評分均為 9.8，被評為嚴重等級。
Ivanti 發布了 RPM 腳本，以緩解受影響的 EPMM 版本中的漏洞：

1. 對於 EPMM 版本 12.5.0.x、12.6.0.x 和 12.7.0.x，請使用 RPM 12.x.0.x。
2. 對於 EPMM 版本 12.5.1.0 和 12.6.1.0，請使用 RPM 12.x.1.x。

該公司表示，應用這些補丁不需要停機時間，也不會對功能造成影響，因此強烈建議盡快套用這些修補程式。「我們目前只知道極少數客戶的解決方案在披露時遭到了利用」Ivanti 警告。
不過，該公司也警告說，熱修復程序在版本升級後會失效，如果設備在永久修復程序可用之前升級，則必須重新應用這些熱修復程序。這些漏洞將在 EPMM 版本 12.8.0.0 中永久修復，該版本將於 2026 年第一季稍後發布。
Ivanti 表示，這兩個漏洞都是透過內部應用程式分發和 Android 檔案傳輸設定功能觸發的，嘗試或成功的利用記錄會出現在 Apache 存取日誌中/var/log/httpd/https-access_log。為了幫助防禦者識別可疑活動，Ivanti 提供了一個正規表示式，可用於在訪問日誌中尋找攻擊活動：

^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

此表達式將列出與針對易受攻擊端點的外部請求（非本機主機流量）相符的日誌條目，這些請求傳回 404 HTTP 回應代碼。據 Ivanti 稱，對這些端點的合法請求通常會回傳 HTTP 200 回應。而攻擊嘗試，無論成功與否，都會傳回 404 錯誤，因此這些記錄是裝置成為攻擊目標的有力證據。
然而，Ivanti 警告說，一旦設備被攻破，攻擊者可以修改或刪除日誌來掩蓋其活動。如果可以取得設備外部的日誌，則應優先查看這些日誌。如果懷疑設備已被入侵，Ivanti 不建議管理員清理系統。
相反，客戶應該從漏洞利用發生之前獲取的已知良好備份中恢復 EPMM，或者重建設備並將資料遷移到替代系統。系統恢復後，Ivanity建議執行以下操作：

1. 重設所有本機 EPMM 帳戶的密碼。
2. 重設執行查找操作的 LDAP 和/或 KDC 服務帳戶的密碼。 https  ://help.ivanti.com/mi/help/en_us/core/11.x/gsg/CoreGettingStarted/Configuring_LDAP_servers.htm
3. 撤銷並取代用於 EPMM 的公共憑證。
4. 重設使用 EPMM 解決方案配置的任何其他內部或外部服務帳戶的密碼。

雖然這些漏洞僅影響 Ivanti Endpoint Manager Mobile (EPMM)，但該公司建議同時查看 Sentry 日誌。美國網路安全和基礎設施安全局 (CISA) 已將 CVE-2026-1281 添加到其已知被利用漏洞 (KEV) 目錄中，證實該漏洞正在被積極利用。


資料來源：https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/