Ivanti紧急修复移动管理器中两个已被利用的零日漏洞
CISA已将其中一个漏洞加入KEV目录,并要求联邦机构在两天内完成修补。
作者:Mihir Bagwe
日期:2026年1月30日
两个代码注入漏洞允许未经身份验证的攻击者在被入侵的网络上执行任意代码并访问敏感的设备信息。
Ivanti为其Endpoint Manager Mobile(EPMM)中的两个严重零日漏洞发布了紧急补丁,此前发现攻击者利用这些漏洞入侵了客户系统。该公司确认,有少数组织已成为利用CVE-2026-1281漏洞的攻击的受害者。CISA已将此漏洞加入其“已知被利用漏洞目录”(KEV),并要求联邦机构在2月1日前完成修复。
代码注入零日漏洞
CVE-2026-1281和CVE-2026-1340都是影响EPMM内部应用分发和Android文件传输配置功能的代码注入漏洞。这两个漏洞的CVSS评分均为9.8(严重等级),允许未经身份验证的远程攻击者在易受攻击的本地EPMM安装上执行任意代码,且无需任何事先认证。
Ivanti在其周四发布的安全公告中表示:“我们了解到,在披露时已有极少数客户的解决方案被利用。”该公司承认,由于攻击的复杂性,目前尚缺乏关于攻击者或全面入侵指标(IoC)的足够信息。
这些漏洞仅影响本地部署的EPMM,不影响云托管的Ivanti Neurons for移动设备管理、Ivanti Endpoint Manager、Ivanti Sentry安全移动网关或任何其他Ivanti产品。不过,公司建议组织在检查EPMM系统的同时,也审查Sentry日志,以防范可能的横向移动。
攻击者可窃取的数据
成功利用漏洞后,攻击者可获得对移动设备管理基础设施的访问权限。被入侵的EPMM设备会暴露管理员和用户凭证,包括用户名和电子邮件地址。攻击者还能查看受管移动设备的信息,如电话号码、IP地址、已安装应用以及设备标识符(如IMEI和MAC地址)。
启用了位置追踪的组织面临额外的风险。攻击者访问被入侵系统后,可以获取设备位置数据,包括GPS坐标和蜂窝基站信息。更关键的是,攻击者可以利用EPMM的API或Web控制台修改设备配置,包括认证设置。
紧急修复措施
Ivanti发布了RPM脚本,为受影响的EPMM版本提供临时缓解措施。运行12.5.0.x、12.6.0.x和12.7.0.x版本的组织应部署RPM 12.x.0.x,而使用12.5.1.0和12.6.1.0版本的组织则需要RPM 12.x.1.x。该公司强调,应用补丁无需停机,也不会造成功能影响。
Ivanti警告说:“如果在将RPM脚本应用到设备后升级到新版本,您需要重新安装RPM。”该漏洞的永久修复将包含在下一个产品版本12.8.0.0中,计划于2026年第一季度晚些时候发布。
怀疑系统已遭入侵的组织不应尝试清理受影响的系统。Ivanti建议要么从漏洞利用发生前的已知良好备份中恢复EPMM,要么重建设备并将数据迁移到替换系统。恢复后,管理员必须重置本地EPMM账户、LDAP和KDC服务账户的密码,撤销并替换公共证书,并为所有配置了EPMM的内外部服务账户重置密码。
公司的分析指南特别指出了Sentry集成带来的风险。虽然EPMM可以被限制在隔离区(DMZ)内,仅能最小化访问公司网络,但Sentry专门将来自移动设备的流量隧道传输到内部网络资产。组织应审查可通过Sentry访问的系统,以防被用于侦察或横向移动。
CISA发布紧迫的两天截止期限
CISA将CVE-2026-1281加入KEV目录触发了《约束性操作指令22-01》的要求。联邦民事行政部门必须在2026年2月1日之前应用供应商的缓解措施或停止使用易受攻击的系统。CISA强烈敦促所有组织(不仅仅是联邦机构)将修复工作作为漏洞管理实践的优先事项。
值得注意的是,尽管Ivanti确认了两个漏洞均已被利用,但CISA仅将CVE-2026-1281加入了KEV目录。该机构尚未解释这一差异。
此次漏洞披露延续了Ivanti在2025年的困境,当时其产品组合中的多个零日漏洞遭到广泛利用。安全研究人员此前已将EPMM攻击与高级威胁攻击者联系起来,其中一些事件被归因于与中国有关联的APT组织。
这些管理平台是极高价值的目标,因为入侵它们实际上会将系统转变为整个企业范围内的命令与控制基础设施。
组织应立即应用补丁,并对可能已遭入侵的系统进行彻底的安全评估,以防止这些已被积极利用的漏洞造成进一步损害。 owxgaI/mDjWAuconBEANAsIqACQoiYVvALyTU2wtmzQwNBgkol+eA94U+avS9IRmEvsANmBNN9QZQpf6rgoLPKWoQfVLvywX/ZeCvzuyKfo=
