Ivanti łata „na gorąco” dwa krytyczne zero-daye w EPMM: CVE-2026-1281 i CVE-2026-1340 (RCE bez uwierzytelnienia) - Security Bez Tabu

Ivanti łata „na gorąco” dwa krytyczne zero-daye w EPMM: CVE-2026-1281 i CVE-2026-1340 (RCE bez uwierzytelnienia)

Wprowadzenie do problemu / definicja luki

Pod koniec stycznia 2026 producent Ivanti opublikował pilne poprawki dla dwóch krytycznych podatności typu „code/command injection” w Endpoint Manager Mobile (EPMM). Luki — CVE-2026-1281 i CVE-2026-1340 — pozwalają na zdalne wykonanie kodu (RCE) bez uwierzytelnienia, a według informacji producenta były już wykorzystywane jako zero-day w ograniczonej liczbie incydentów.

W praktyce oznacza to, że publicznie dostępny serwer MDM/UEM może zostać przejęty z internetu jednym żądaniem HTTP, bez konta i bez interakcji użytkownika — a potem stać się punktem wyjścia do dalszej kompromitacji środowiska.

W skrócie

  • Co się stało: wydano awaryjne poprawki dla dwóch krytycznych zero-day w EPMM (pre-auth RCE).
  • Identyfikatory: CVE-2026-1281 i CVE-2026-1340, CVSS 9.8 (wektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Gdzie uderza: wskazywane są funkcje związane z dystrybucją aplikacji „in-house” oraz konfiguracją transferu plików Android.
  • Skala: producent mówi o „bardzo ograniczonej liczbie” ofiar; szczegółowych IoC ma być niewiele/niepewne na moment publikacji.
  • KEV i deadline: CVE-2026-1281 figuruje w KEV z terminem działań do 1 lutego 2026 (sygnał „patch teraz”).
  • Ważne: problem dotyczy on-prem EPMM; nie dotyczy m.in. Ivanti Neurons for MDM (cloud) ani kilku innych produktów producenta.

Kontekst / historia / powiązania

EPMM to system o wysokiej wartości dla atakujących: zarządza flotą urządzeń mobilnych, dystrybuuje aplikacje, przechowuje dane użytkowników/administratorów i stanowi „uprzywilejowany” element infrastruktury. To także produkt, który w ostatnich latach wracał w doniesieniach o aktywnym wykorzystywaniu podatności.

W samym ekosystemie EPMM wcześniej obserwowano exploity m.in. w 2023 r. (CVE-2023-35078) oraz w 2025 r. (łańcuch CVE-2025-4427 i CVE-2025-4428).
Wątek jest istotny operacyjnie: jeśli organizacja już raz musiała „gasić pożar” na EPMM, to tym bardziej warto traktować obecny incydent jako powtarzalny wzorzec ryzyka (internet-facing + wysoki wpływ + szybka monetyzacja).

Analiza techniczna / szczegóły luki

1) Charakter podatności: wstrzyknięcie poleceń prowadzące do RCE

Zarówno CVE-2026-1281, jak i CVE-2026-1340 opisywane są jako podatności typu code injection, które umożliwiają uruchomienie dowolnych poleceń systemu operacyjnego zdalnie i bez uwierzytelnienia.

2) Ścieżki HTTP i powierzchnia ataku

W analizach obronnych przewijają się co najmniej dwa obszary/endpointy związane z funkcjami:

  • „In-House Application Distribution”: ścieżki w rodzaju /mifs/c/appstore/fob/
  • „Android File Transfer Configuration”: ścieżki w rodzaju /mifs/c/aftstore/fob/

To ważne, bo wskazuje na publicznie osiągalne zasoby HTTP, które mogą być skanowane masowo.

3) Co mówi reverse engineering: rola Apache RewriteMap i skryptów bash

Ciekawy technicznie element ujawniła analiza watchTowr Labs: tymczasowe poprawki RPM mają m.in. przebudowywać konfigurację Apache HTTPd i zastępować mechanizm oparty o bashowe mapowania (RewriteMap) wersją opartą o klasy Java. Z perspektywy obrony to mocna poszlaka, że wektor ataku dotykał przekazywania danych kontrolowanych przez atakującego do logiki wykonywanej w powłoce.

4) „Tymczasowe” łatki i re-aplikacja po upgrade

Producent (a za nim część analiz) podkreśla, że dostarczone aktualizacje mają charakter „awaryjny” — i że docelowo pełna poprawka ma być w wersji 12.8.0.0 planowanej na Q1 2026; do tego czasu łatki mogą wymagać ponownego nałożenia po aktualizacji wersji.

5) Wykrywanie śladów: trop w logach HTTP

W materiałach szybkiej reakcji Rapid7 pojawia się praktyczny punkt dla zespołów SOC/IR: regex do przeszukiwania logów demona HTTP pod kątem prób odwołań do ścieżek /mifs i anomalii (np. żądania zakończone 404, ale nie z localhost).

Praktyczne konsekwencje / ryzyko

Kompromitacja serwera EPMM to zwykle nie „tylko RCE”. To przejęcie komponentu, który:

  • ma wgląd w dane administratorów, użytkowników i urządzeń (np. identyfikatory, informacje o urządzeniu, dane użytkowników),
  • może zostać użyty do ruchu lateralnego w sieci (uprzywilejowana pozycja systemu zarządzania),
  • może umożliwiać zmiany konfiguracyjne wpływające na flotę urządzeń (np. dystrybucja aplikacji / modyfikacja ustawień).

Dodatkowo CVE-2026-1281 trafił do KEV z krótkim terminem reakcji (do 1 lutego 2026), co w praktyce jest sygnałem: ryzyko jest „tu i teraz”, a nie teoretyczne.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań w kolejności „najpierw odetnij ryzyko, potem sprzątaj”.

1) Zidentyfikuj ekspozycję

  • Ustal, czy EPMM jest wystawiony do internetu (VIP/LB/NAT/WAF), a jeśli tak — czy nie da się go ograniczyć (VPN, allowlist).
  • Zweryfikuj wersję EPMM i to, czy mieścisz się w zakresie wersji uznanych za podatne. (NVD pokazuje konfiguracje do 12.7.0.0 oraz osobne linie 12.5.1.0/12.6.1.0 itd.).

2) Zastosuj poprawki awaryjne

  • Wdróż poprawki dostarczone przez producenta „out-of-band”, poza normalnym cyklem patchowania (to nie jest „poczeka do wtorku”).
  • Zaplanuj, że po upgrade wersji możesz potrzebować ponownego nałożenia mechanizmu naprawczego — to istotne w oknach serwisowych.

3) Threat hunting i szybka triage

  • Przeszukaj logi HTTP pod kątem dostępu do ścieżek /mifs/c/appstore/fob/ i /mifs/c/aftstore/fob/, zwłaszcza nietypowych żądań oraz wzorców sugerujących próby egzekucji poleceń.
  • Jeżeli masz EDR na hoście/appliance (lub telemetry syslog): poluj na procesy powłoki/uruchomienia poleceń korelujące czasowo z ruchem do tych endpointów.

4) Zakładaj „post-exploitation”

Skoro to pre-auth RCE, traktuj środowisko jak potencjalnie naruszone:

  • rotuj hasła/tokeny/sekrety, które mogły być dostępne z poziomu EPMM,
  • sprawdź listę kont administratorów i zmiany polityk/konfiguracji,
  • przeglądnij integracje (np. katalog/SSO) pod kątem nieautoryzowanych modyfikacji.

5) Plan średnioterminowy

  • Przygotuj się na docelowy upgrade do 12.8.0.0 (Q1 2026) — to ma być „trwała” poprawka.
  • Oceń, czy architektura nadal spełnia „minimal exposure”: system MDM/UEM nie powinien być łatwym celem z internetu.

Różnice / porównania z innymi przypadkami

2023 i 2025 pokazały, że EPMM bywa celem aktywnych kampanii, a ataki na warstwę zarządzania urządzeniami są atrakcyjne (jedno przejęcie → duży wpływ).
Nowy element w 2026 r. to wyraźnie „czerwony alarm” związany z:

  • bardzo wysoką oceną (CVSS 9.8),
  • charakterem pre-auth RCE,
  • obecnością CVE-2026-1281 w KEV z krótkim terminem wymuszenia działań.

Podsumowanie / kluczowe wnioski

  • CVE-2026-1281 i CVE-2026-1340 to krytyczne podatności EPMM umożliwiające RCE bez logowania.
  • Producent potwierdza wykorzystanie zero-day (choć w „bardzo ograniczonej” skali), a ryzyko eskaluje przez to, że EPMM bywa systemem publicznie osiągalnym.
  • Jeśli masz EPMM on-prem — to jest sytuacja typu „patch natychmiast + hunting + założenie możliwej kompromitacji”. KEV dla CVE-2026-1281 tylko to wzmacnia.
  • Technicznie warto skupić uwagę na ruchu do endpointów /mifs/ oraz na korelacji z procesami powłoki/wykonywania poleceń.

Źródła / bibliografia

  1. SecurityWeek — opis podatności, zakres wersji i kontekst eksploatacji. (SecurityWeek)
  2. Blog Ivanti: „January 2026 EPMM Security Update” — stanowisko producenta i zakres produktów (on-prem vs cloud). (ivanti.com)
  3. National Vulnerability Database (NVD) — metryki CVSS, KEV i terminy dla CVE-2026-1281. (NVD)
  4. Rapid7 ETR — endpointy /mifs, wskazówki huntingowe i kontekst wcześniejszych exploitów. (Rapid7)
  5. watchTowr Labs — reverse engineering podejścia „RPM patch” i obserwacje dot. mechanizmu (RewriteMap/bash → Java). (watchTowr Labs)