Vahşi Hedefleme Kurumsal Ağlarında Kritik Ivanti EPMM Sıfır Gün Güvenlik Açıkları Kullanıldı

Ivanti Endpoint Manager Mobile'daki (EPMM) iki kritik sıfır gün güvenlik açığı, birden fazla ülkede kurumsal altyapıyı hedefleyen aktif kullanım kampanyaları ile kurumsal ağlar için büyük bir tehdit olarak ortaya çıkmıştır. CVE -2026 -1281 ve CVE -2026 -1340 olarak tanımlanan güvenlik açıkları, kimliği doğrulanmamış saldırganların herhangi bir kullanıcı etkileşimi veya kimlik bilgisi gerektirmeden hedef sunucularda uzaktan rastgele kod yürütmelerini sağlar. Bu kusurlar, özellikle eyalet ve yerel yönetim, sağlık, üretim, profesyonel hizmetler ve yüksek teknoloji gibi sektörleri etkileyen Amerika Birleşik Devletleri, Almanya, Avustralya ve Kanada'daki kuruluşları zaten etkilemiştir. Saldırı, tehdit aktörlerine mobil cihaz yönetim altyapısı üzerinde tam kontrol sağlayarak ters kabuklar oluşturmalarına, web kabukları kurmalarına, keşif yapmalarına ve kötü amaçlı yazılım indirmelerine olanak tanır. Birim 42, güvenlik açıklarının Ocak 2026 'da açıklanmasından bu yana yaygın otomatik istismar girişimlerini belgelemiştir. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, şiddet ve aktif sömürü nedeniyle CVE -2026 -1281 'i Bilinen Sömürülen Güvenlik Açıkları Kataloğuna hızla ekledi. Palo Alto Networks araştırmacıları, Cortex Xpanse telemetri sistemi aracılığıyla internette maruz kalan 4.400' den fazla EPMM örneği tespit etti. Analistler, tehdit aktörlerinin operasyonlarını hızla hızlandırdıklarını, ilk keşiften, kuruluşlar güvenlik yamaları uyguladıktan sonra bile uzun vadeli erişimi sürdürmek için tasarlanmış uykudaki arka kapıların konuşlandırılmasına geçtiklerini belirtti. Bu, saldırganların ele geçirilmiş ağlara kalıcı erişim sağlamak için stratejilerini nasıl uyarladıklarını göstermektedir. Her iki güvenlik açığı da Apache web sunucusu yapılandırmasında URL'nin yeniden yazılmasını işleyen eski bileşenlerde güvenli olmayan bash komut dosyası kullanımından kaynaklanmaktadır.