CISA 给联邦机构四天时间修补被利用为零日的 Ivanti 漏洞
发布: (2026年5月8日 GMT+8 20:16)
4 分钟阅读
Source: Bleeping Computer
概览
美国网络安全与基础设施安全局(CISA)已要求联邦机构在四天内对其网络进行加固,以防止 Ivanti Endpoint Manager Mobile (EPMM) 中的高危漏洞被利用为零日攻击。
漏洞详情(CVE‑2026‑6973)
- 受影响产品: Ivanti Endpoint Manager Mobile (EPMM) 12.8.0.0 及更早版本
- 影响: 允许拥有管理员权限的攻击者远程执行任意代码。
- 利用状态: 已在野外被积极利用;披露时报告的利用案例有限。
Ivanti 的通告
在周四的安全通告中,Ivanti 建议采取以下措施:
- 补丁版本: 安装 Ivanti EPMM 12.6.1.1、12.7.0.1 或 12.8.0.1。
- 凭证卫生: 审查拥有管理员权限的账户,并在必要时轮换这些凭证。
“在披露时,我们仅了解到 CVE‑2026‑6973 的利用案例非常有限,且成功利用需要管理员身份验证。我们尚未发现有客户受到今天披露的其他漏洞的利用。” – Ivanti blog
Ivanti 澄清,此问题 仅影响本地部署的 EPMM 产品,在以下产品中 不存在:
- Ivanti Neurons for MDM(基于云的 UEM)
- Ivanti EPM(不同产品)
- Ivanti Sentry
- 其他任何 Ivanti 产品
暴露情况概览
Shadowserver 追踪到 超过 800 台 Ivanti EPMM 设备 在网络上暴露。已针对 CVE‑2026‑6973 打好补丁的设备数量尚不明确。
.png)
Ivanti EPMM 设备在线暴露情况(Shadowserver)
CISA 措施
在周四,CISA 将 CVE‑2026‑6973 纳入其 已知被利用漏洞目录,并要求联邦机构在 5 月 10 日午夜 前为其 EPMM 系统打上补丁。
“此类漏洞是恶意网络行为者常用的攻击向量,对联邦企业构成重大风险。” – CISA
相关漏洞
- CVE‑2026‑1281 与 CVE‑2026‑1340 – 两个在 2026 年 1 月已修补的关键 EPMM 漏洞,同样被用于零日攻击。
- CISA 之前曾给机构四天时间来修复 CVE‑2026‑1340(见 4 月 8 日通告)。
Ivanti 表示,若组织在 1 月针对 CVE‑2026‑1281 与 CVE‑2026‑1340 已执行凭证轮换,则 显著降低 被 CVE‑2026‑6973 利用的风险。
Ivanti 的市场地位
Ivanti 为全球 超过 40,000 家客户 提供 IT 资产管理解决方案,拥有 7,000 多家合作伙伴 的网络支持。
参考资料
- Ivanti 安全通告
- CISA 漏洞目录条目
- Shadowserver 暴露数据
- 早期 Ivanti EPMM 零日攻击报道
- CISA 4 月 8 日通告