Az Ivanti CVE-2026-6973 sérülékenysége távoli kódfuttatást tesz lehetővé az EPMM rendszereken. Több száz internetre nyitott szerver lehet érintett.
Az Ivanti sürgősségi biztonsági frissítéseket adott ki az Ivanti Endpoint Manager Mobile (EPMM) rendszerhez, miután megerősítette:
👉 egy aktívan kihasznált sérülékenység lehetővé teszi távoli kódfuttatást (RCE).
A sérülékenység:
👉 CVE-2026-6973
👉 magas súlyosságú
👉 improper input validation hiba
👉 admin jogosultsággal RCE-t tesz lehetővé
Mi az EPMM?
Az Ivanti Endpoint Manager Mobile:
- mobil eszköz menedzsment rendszer (MDM)
- vállalati telefonok és tabletek kezelése
- certificate management
- authentication policy
- remote access kontroll
miatt különösen érzékeny infrastruktúra.
Korábbi neve:
👉 MobileIron Core
Mit tud a támadó?
Sikeres exploit után:
- tetszőleges kód futtatható
- adminisztrációs hozzáférés szerezhető
- mobil infrastruktúra kompromittálható
- certificate abuse lehetséges
- laterális mozgás indítható
Aktív kihasználás már zajlik
Az Ivanti megerősítette:
👉 valós támadásokat már észleltek.
Bár jelenleg „korlátozott” aktivitásról beszélnek:
⚠️ az ilyen publikusan ismert sérülékenységek nagyon gyorsan tömeges támadási hullámba fordulnak át.
Több száz rendszer publikus interneten
A Shadowserver Foundation szerint:
👉 több mint 850 internet-facing EPMM rendszer látható.
Legnagyobb kitettség:
- Európa
- Észak-Amerika
Miért veszélyes az EPMM kompromittálás?
Mert az MDM rendszerek:
- teljes kontrollt kapnak mobil eszközök felett
- hozzáférnek tanúsítványokhoz
- authentication policy-khez
- vállalati kommunikációhoz
Egy sikeres támadó:
👉 mélyen bejuthat a vállalati hálózatba.
Érintett verziók
Sérülékeny:
👉 EPMM 12.8.0.0 és korábbi verziók
Javított verziók
Azonnali frissítés ajánlott:
- 12.6.1.1
- 12.7.0.1
- 12.8.0.1
További javított sérülékenységek
Az Ivanti további hibákat is javított:
- CVE-2026-5786
- CVE-2026-5787
- CVE-2026-5788
- CVE-2026-7821
Ezek:
- privilege escalation
- host impersonation
- certificate abuse
- unauthorized access
támadásokat tehetnek lehetővé.
A legveszélyesebb extra hiba
CVE-2026-7821
⚠️ bizonyos Apple Device Enrollment környezetben:
👉 authentikáció nélkül is kihasználható lehet.
Miért célpont az Ivanti?
Az Ivanti termékei évek óta kiemelt támadási célpontok.
Korábbi támadások:
- CVE-2023-35078
- CVE-2023-35082
- CVE-2025-4427
- CVE-2025-4428
több:
- állami
- katonai
- egészségügyi
- pénzügyi
szervezet kompromittálásához kapcsolódtak.
CISA KEV lista
A CISA:
👉 már 33 Ivanti sérülékenységet vett fel a KEV adatbázisba.
AI és exploit gyorsulás
Az Ivanti külön kiemelte:
👉 AI/LLM rendszereket használ belső vuln discovery folyamatokhoz.
Ez fontos trend:
A generatív AI:
- patch diff elemzésre
- exploit generálásra
- internet scanningre
- vuln chain építésre
is használható.
Miért kritikus az idő?
Ma már:
❌ nincs „majd jövő héten patch-elünk”
A támadók:
- órák alatt
- automatizáltan
- AI segítségével
kezdik meg a támadásokat.
Mit kell most tenni?
🔴 Azonnali patch
Frissítés a javított verziókra.
🔴 Credential rotation
Különösen:
- admin accountok
- service accountok
- API credentialök
esetén.
🔴 Internet exposure csökkentése
Az admin interface:
👉 NE legyen publikus interneten.
🔴 Threat hunting
Keresni:
- gyanús authentication attempt
- szokatlan admin activity
- Apache access log anomáliák
- certificate issuance események
🔴 Log ellenőrzés
Fontos log:
/var/log/httpd/https-access_log
Nagyobb tanulság
A modern támadások fókusza egyre inkább:
- MDM
- identity
- VPN
- remote management
- edge infrastructure
rendszerekre kerül.
Ezek:
👉 ma a legértékesebb enterprise célpontok.
Összegzés
Az Ivanti Endpoint Manager Mobile CVE-2026-6973 sérülékenysége:
- aktívan kihasznált
- RCE-t tesz lehetővé
- internet-facing rendszereket érint
- mobil infrastruktúrát veszélyeztet
- több száz publikus rendszer lehet érintett
👉 azonnali frissítés és credential rotation erősen ajánlott.
