# CVE-2026-1603 - Ivanti Endpoint Manager Authentication Bypass > [!high] CVSS 8.6 - CISA KEV - Exploração Ativa Confirmada > Bypass de autenticação via caminho alternativo no Ivanti Endpoint Manager permite exfiltração de credenciais armazenadas sem qualquer autenticação. Adicionada ao CISA KEV em março de 2026 com prazo de remediação imediato. ## Visão Geral O **CVE-2026-1603** é uma vulnerabilidade de **bypass de autenticação via caminho alternativo** (CWE-288) na classe `AuthHelper` do **Ivanti Endpoint Manager (EPM)**, uma solução de gerenciamento de endpoints corporativos amplamente utilizada em organizações de médio e grande porte para controle centralizado de dispositivos Windows. A falha permite que um atacante remoto não autenticado acesse endpoints privilegiados que normalmente requerem credenciais válidas, resultando na **exfiltração de credenciais armazenadas** no EPM - incluindo credenciais de integração com Active Directory e tokens de serviço. A CISA adicionou CVE-2026-1603 ao KEV Catalog em **9 de março de 2026** com prazo de remediação de apenas duas semanas (23 de março de 2026), sinalizando exploração ativa confirmada em campo. A vulnerabilidade foi divulgada pela Ivanti em fevereiro de 2026 e corrigida na versão **EPM 2024 SU5**. O histórico de vulnerabilidades críticas em produtos Ivanti - incluindo múltiplas CVEs nos produtos Connect Secure e EPMM nos últimos dois anos - torna esta CVE especialmente preocupante, dado o padrão de exploração rápida que caracteriza este fornecedor. O risco é amplificado pelo potencial de escalada: as credenciais de integração com Active Directory exfiltradas podem ser usadas para movimento lateral, comprometimento de domínio e acesso a sistemas downstream muito além do próprio EPM. ## Produtos Afetados | Produto | Versão Afetada | Versão Corrigida | |---------|---------------|-----------------| | Ivanti EPM 2024 | Base release - SU4 SR1 | 2024 SU5 | | Ivanti EPM 2024 | SU1 - SU4 SR1 | 2024 SU5 | | Ivanti EPM | Versões anteriores ao 2024 | Não suportadas - atualizar | ## Descrição Técnica A vulnerabilidade está na lógica de autenticação da classe `AuthHelper` do Ivanti EPM. Ao enviar requisições HTTP para endpoints privilegiados via um caminho alternativo ou com parâmetros específicos, o mecanismo de autenticação é completamente ignorado. Um atacante não autenticado pode acessar funcionalidades reservadas para usuários administrativos. **Dados expostos pela exploração:** - Credenciais de integração com Active Directory/LDAP - Tokens de serviço e credenciais de autenticação de agentes EPM - Dados de configuração de integrações com outros sistemas gerenciados **Características do ataque:** - **Sem autenticação necessária:** o bypass ocorre antes de qualquer verificação de identidade - **Sem interação do usuário:** exploração totalmente automatizável por scanner - **Complexidade baixa:** não requer condições especiais ou timing específico - **Escopo alterado (S:C):** o impacto se estende além do sistema comprometido - para todo o domínio ## Escalada e Cadeia de Ataque As credenciais de Active Directory exfiltradas via esta CVE permitem: 1. **Acesso direto ao domínio** com as credenciais de serviço do EPM 2. **Movimento lateral** para outros sistemas onde as mesmas credenciais são utilizadas 3. **Persistência** via criação de novas contas ou modificação de contas existentes usando [[t1098-account-manipulation|T1098 - Account Manipulation]] 4. **Reconhecimento de rede** utilizando acesso legítimo ao AD **TTPs associadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1098-account-manipulation|T1098 - Account Manipulation]] ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O Ivanti Endpoint Manager é utilizado em grandes organizações brasileiras para gestão centralizada de endpoints Windows - incluindo bancos, operadoras de saúde suplementar e órgãos governamentais. O risco de exfiltração de credenciais de domínio Active Directory é especialmente grave em ambientes onde o EPM tem integração direta com controladores de domínio corporativo. No Brasil, onde muitas organizações ainda operam com arquiteturas de AD planas sem segmentação privilegiada, uma credencial de serviço comprometida pode resultar em comprometimento total do domínio. Organizações com o EPM exposto à internet sem segmentação de rede adequada devem priorizar a atualização como medida de urgência máxima. ## Mitigação **Patch obrigatório:** - Atualizar para **Ivanti Endpoint Manager 2024 SU5** imediatamente - Verificar disponibilidade em: [Ivanti Security Advisory](https://www.ivanti.com/security) **Verificação de comprometimento:** - Revisar logs de acesso do EPM para requisições a endpoints privilegiados sem autenticação válida - Auditar e **rotacionar todas as credenciais** de integração armazenadas no EPM como medida preventiva - Verificar Active Directory para contas com acessos anômalos nas últimas semanas - Monitorar logs de autenticação AD para logins de contas de serviço do EPM em horários incomuns **Medidas adicionais:** - Restringir acesso ao servidor EPM por IP - apenas administradores e sistemas autorizados - Implementar monitoramento de alertas para autenticações com credenciais de serviço do EPM - Usar contas de serviço com princípio de mínimo privilégio e sem acesso interativo ## Notas Relacionadas **CVE relacionada (mesmo produto):** [[cve-2026-1602|CVE-2026-1602]] - SQL injection no EPM (CVSS 6.5, mesma divulgação) **CVEs Ivanti EPMM:** [[cve-2026-1340|CVE-2026-1340]] · [[cve-2026-1281|CVE-2026-1281]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1552-unsecured-credentials|T1552]] · [[t1078-valid-accounts|T1078]] **Setores em risco:** [[government]] · [[financial]] · [[healthcare]] · [[technology]] ## Referências - [CISA KEV - CVE-2026-1603](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Ivanti Security Advisory IPSB-2026-XX](https://www.ivanti.com/security) - [NVD - CVE-2026-1603](https://nvd.nist.gov/vuln/detail/CVE-2026-1603) - [BleepingComputer - Ivanti EPM Critical Auth Bypass](https://www.bleepingcomputer.com)