Ivanti熱修補行動裝置管理平臺EPMM兩重大遠端程式碼執行漏洞

Ivanti揭露自家行動裝置管理平臺Endpoint Manager Mobile（EPMM）兩個重大漏洞CVE-2026-1281與CVE-2026-1340。兩者皆為程式碼注入弱點，風險評分達CVSS 9.8，攻擊者可在未經驗證的情況下觸發遠端程式碼執行。Ivanti表示，在揭露時已知極少數用戶環境遭到利用，而美國CISA同日將CVE-2026-1281列入已遭利用漏洞目錄（KEV）。

兩漏洞影響EPMM，官方強調不影響包括Ivanti Sentry、Ivanti Endpoint Manager（EPM）與Ivanti Neurons for MDM等其他產品。不過，由於EPMM需能連線至Sentry並下達指令以維持Sentry運作與組態，Ivanti建議在懷疑EPMM受影響時，同步檢視Sentry可觸及的內部系統，以排除偵察或橫向移動可能。

Ivanti釋出RPM熱修補套件，客戶需依自身版本選用對應套件，無須停機。Ivanti也提醒，要是設備後續升級版本，熱修補不會自動延續，升級後需重新安裝。永久修補將納入下一個產品版本12.8.0.0，預計於2026年第1季推出。

就可能衝擊而言，EPMM掌握企業行動裝置管理所需資料與設定，Ivanti解釋，當攻擊者取得系統執行權限，除了可能作為入侵跳板，也可能接觸到管理者與使用者身分資訊，以及受管裝置的識別資訊與部分管理設定。

官方指出，攻擊者可能透過API或網頁主控臺變更EPMM設定。對於疑似受影響的設備，Ivanti建議企業依自身風險承受度檢視EPMM組態，包含是否出現新增或變更管理者，以及身分驗證設定例如單一登入與LDAP設定等異動。

雖然攻擊嘗試與成功利用，都可能在Web存取紀錄留下線索，但Ivanti也提醒已入侵的系統日誌可能被清除或竄改，因此更建議依賴外部日誌平臺或SIEM的留存資料。要是企業確認系統遭入侵，Ivanti不建議嘗試就地清除，而是以還原可信備份或重建新系統並搬遷資料的方式回到已知良好狀態，並在設備不對外暴露的情況下完成修補後再恢復服務。