# CVE-2026-1281 - Ivanti EPMM Dual Zero-Day RCE CVSS 9.8 > [!critical] Dual Zero-Day - RCE Pré-Auth em Plataforma MDM Crítica > Vulnerabilidade CVSS 9.8 no Ivanti EPMM permite RCE sem autenticação quando encadeada com **CVE-2026-1340**. PoC público disponível. CISA KEV desde 29/01/2026. Implantação de webshells JSP. Ivanti acumula histórico alarmante de zero-days em produtos de gerenciamento. ## Visão Geral **CVE-2026-1281** é uma vulnerabilidade crítica de **injeção de código** no Ivanti Endpoint Manager Mobile (EPMM), anteriormente conhecido como MobileIron Core, a principal plataforma de gerenciamento de dispositivos móveis (MDM) da Ivanti. Quando encadeada com [[cve-2026-1340|CVE-2026-1340]], as duas vulnerabilidades formam uma cadeia de **dual zero-day** que permite **execução remota de código sem autenticação** em servidores EPMM. A exploração foi identificada em ambientes reais contra um número limitado de organizações, com a CISA adicionando ambas as CVEs ao catálogo KEV em 29 de janeiro de 2026. Código PoC público está disponível para ambas as vulnerabilidades, elevando significativamente o risco de exploração em massa. A cadeia de ataque resulta na implantação de **webshells JSP** (`401.jsp` e `403.jsp`) nos servidores comprometidos, fornecendo acesso persistente aos atacantes. O EPMM é uma plataforma de **gerenciamento de dispositivos móveis** (MDM) que controla políticas de segurança, distribuição de aplicativos, configurações de e-mail e acesso corporativo para dispositivos móveis. Comprometer o EPMM significa potencialmente controlar ou exfiltrar dados de **todos os dispositivos móveis gerenciados** pela organização - incluindo smartphones e tablets de executivos, diretores e equipes operacionais. O histórico da Ivanti com zero-days explorados é alarmante e recorrente: [[cve-2023-35078|CVE-2023-35078]] (EPMM, 2023), CVE-2025-4427/4428 (EPMM, 2025), além de múltiplas vulnerabilidades em Connect Secure e Policy Secure. Este padrão demonstra que **produtos Ivanti devem ser tratados como superfície de ataque de alta prioridade** em qualquer estratégia de defesa. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por EPMM exposto<br/>interface web"] --> B["💥 CVE-2026-1281<br/>Code injection<br/>pré-autenticação"] B --> C["💥 CVE-2026-1340<br/>Segundo zero-day<br/>escalação da cadeia"] C --> D["🔑 RCE Completo<br/>Execução de código<br/>no servidor EPMM"] D --> E["🛡️ Webshells JSP<br/>401.jsp e 403.jsp<br/>persistência no servidor"] E --> F["📤 Impacto MDM<br/>Controle sobre todos<br/>dispositivos gerenciados"] ``` ## TTPs Mapeados | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do EPMM exposto à internet | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Execução de comandos via code injection | | Persistence | [[t1505-003-web-shell\|T1505.003]] | Deploy de webshells 401.jsp e 403.jsp | | Collection | [[t1005-data-from-local-system\|T1005]] | Acesso a dados de configuração MDM | | Impact | [[t1496-resource-hijacking\|T1496]] | Abuso de recursos do servidor comprometido | | Lateral Movement | [[t1021-remote-services\|T1021]] | Acesso a dispositivos via APIs de MDM | ## Histórico de Zero-Days Ivanti | CVE | Produto | Ano | Tipo | |-----|---------|-----|------| | CVE-2023-35078 | EPMM | 2023 | Acesso API não autenticado | | CVE-2024-21887 | Connect Secure | 2024 | Command injection | | CVE-2025-4427/4428 | EPMM | 2025 | RCE + Auth bypass | | **CVE-2026-1281/1340** | **EPMM** | **2026** | **Dual zero-day RCE** | ## Relevância LATAM/Brasil > [!latam] Impacto Regional > A Ivanti está **expandindo ativamente sua presença no Brasil e América Latina** através de parcerias como a firmada com a Bpod para aceleração de vendas na região. O EPMM (MobileIron) é utilizado por organizações que necessitam de gerenciamento centralizado de dispositivos móveis corporativos, incluindo setores regulados como **financeiro** e **governo**. No Brasil, o EPMM é adotado por empresas que implementaram políticas de BYOD (Bring Your Own Device) e gerenciamento de dispositivos corporativos, particularmente no setor [[financial|financeiro]], onde regulamentações do Banco Central exigem controle sobre dispositivos que acessam sistemas bancários. Órgãos do [[government|governo federal]] também utilizam soluções MDM da Ivanti para gerenciar tablets e smartphones de servidores públicos. O risco é composto pela exposição frequente de interfaces EPMM à internet (necessária para que dispositivos móveis se comuniquem com o servidor de gerenciamento), criando uma superfície de ataque permanente. Organizações brasileiras devem priorizar a aplicação do patch RPM temporário disponibilizado pela Ivanti e planejar a migração para a versão 12.8.0.0 assim que disponível. ## Detecção e Defesa ### Ações Imediatas 1. **Aplicar patch RPM** temporário disponibilizado pela Ivanti imediatamente 2. **Planejar migração** para EPMM versão 12.8.0.0 (Q1 2026) 3. **Verificar** presença de webshells `401.jsp` e `403.jsp` em diretórios do EPMM 4. **Auditar logs** de acesso ao EPMM por requisições anômalas 5. **Restringir acesso** à interface administrativa via VPN ou IP allowlist 6. **Verificar integridade** de políticas MDM e configurações de dispositivos ### Indicadores de Comprometimento - Presença de arquivos `401.jsp` ou `403.jsp` em diretórios web do EPMM - Processos Java anômalos executando como serviço EPMM - Modificações não autorizadas em políticas MDM - Conexões outbound incomuns do servidor EPMM ### Mitigações MITRE - [[M1030-network-segmentation\|M1030 - Network Segmentation]]: limitar exposição do EPMM via DMZ - [[M1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]]: IP allowlist para admin - [[M1051-update-software\|M1051 - Update Software]]: aplicar patch RPM e migrar para 12.8.0.0 ## Referências - [Tenable - CVE-2026-1281/1340 EPMM Zero-Day](https://www.tenable.com/blog/CVE-2026-1281-CVE-2026-1340-ivanti-endpoint-manager-mobile-epmm-zero-day-vulnerabilities) - [Unit 42 - Ivanti CVE-2026-1281/1340](https://unit42.paloaltonetworks.com/ivanti-CVE-2026-1281-CVE-2026-1340/) - [Rapid7 - Critical Ivanti EPMM Zero-Day](https://www.rapid7.com/blog/post/etr-critical-ivanti-endpoint-manager-mobile-epmm-zero-day-exploited-in-the-wild-eitw-CVE-2026-1281-1340/) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [[cve-2026-1340|CVE-2026-1340]] (segundo zero-day da mesma cadeia)