Ivanti 警告新 EPMM 漏洞被用于零日攻击

Source: Bleeping Computer

漏洞详情

• CVE‑2026‑6973 – 输入验证不当，允许拥有管理员权限的远程攻击者在运行 EPMM 12.8.0.0 及更早版本的系统上执行任意代码。
• 仅影响本地部署产品；在 Ivanti Neurons for MDM、Ivanti EPM、Ivanti Sentry 或其他 Ivanti 解决方案中不存在。

缓解措施

Ivanti 建议安装以下已修补的版本之一：

• EPMM 12.6.1.1
• EPMM 12.7.0.1
• EPMM 12.8.0.1

此外，客户应：

1. 审查拥有管理员权限的账户。
2. 在必要时轮换凭据。

“在披露时，我们仅发现 CVE‑2026‑6973 的利用非常有限，且成功利用需要管理员身份验证。我们尚未发现有客户受到今天披露的其他漏洞的攻击，” – Ivanti 博客。

暴露统计

Shadowserver 追踪到 850 多个 IP 地址 带有 Ivanti EPMM 指纹在网络上公开，主要分布在欧洲（508）和北美（182）。目前尚无这些地址中有多少已针对 CVE‑2026‑6973 完成补丁的数据。

其他已修补的 EPMM 漏洞

Ivanti 还发布了四个高危问题的补丁：

• CVE‑2026‑5786 – 允许攻击者获取管理员访问权限。
• CVE‑2026‑5787 – 使攻击者能够冒充已注册的 Sentry 主机，以获取有效的 CA 签名客户端证书。
• CVE‑2026‑5788 – 允许调用任意方法。
• CVE‑2026‑7821 – 允许访问受限信息；无需特权即可利用，但仅影响已配置 Apple 设备注册的用户。

Ivanti 报告未发现这些缺陷在野外被利用的证据。

历史背景

• 2026 年 1 月： 两个关键的 EPMM 代码注入漏洞（CVE‑2026‑1281 和 CVE‑2026‑1340）被披露并在零日攻击中被利用，影响了少数客户。1 月通报后轮换凭据的客户降低了 CVE‑2026‑6973 的风险。
  来源: BleepingComputer – Ivanti warns of two EPMM flaws exploited in zero‑day attacks

• 2026 年 4 月： CISA 命令美国政府机构在四天内对 CVE‑2026‑1340 进行补丁。
  来源: CISA order

• 近几年： 多个 Ivanti EPMM 零日被用于针对全球政府机构的攻击。CISA 已将 33 项 Ivanti 漏洞 标记为已在野外被利用，其中 12 项被勒索软件组织利用。
  来源:

  • Ivanti fixes EPMM zero‑days chained in code‑execution attacks
  • Ivanti EPMM flaw exploited by Chinese hackers to breach govt agencies
  • Norway says Ivanti zero‑day was used to hack govt IT systems
  • CISA Known Exploited Vulnerabilities Catalog

关于 Ivanti

Ivanti 通过遍布全球的 7,000 多家合作伙伴 网络，为超过 40,000 家客户 提供 IT 资产管理产品。