CVE-2026-1340: krytyczna podatność w Ivanti EPMM
Wyobraź sobie, że ktoś wchodzi do Twojej serwerowni bez hasła, bez karty dostępu i bez żadnego zaproszenia. Dokładnie to umożliwia CVE-2026-1340. Krytyczna podatność w Ivanti EPMM jest już aktywnie wykorzystywana przez cyberprzestępców. Jeśli używasz tego systemu, masz bardzo mało czasu.
Parametry podatności 📋
Identyfikator: CVE-2026-1340
Ocena CVSS: 9.8 / 10 (Krytyczna)
Status: Aktywnie wykorzystywana w realnych atakach
Dodana do CISA KEV: 8 kwietnia 2026
Deadline na łatkę: 11 kwietnia 2026
Czego dotyczy podatność? 🎯
CVE-2026-1340 to podatność typu code injection w Ivanti Endpoint Manager Mobile (EPMM), która umożliwia atakującemu zdalne wykonanie kodu bez żadnego uwierzytelnienia.
Tenable Ivanti EPMM to lokalna platforma do zarządzania urządzeniami mobilnymi w przedsiębiorstwach.
Umożliwia administratorom IT egzekwowanie polityk bezpieczeństwa, zarządzanie cyklem życia urządzeń z systemami iOS, Android, Windows i macOS oraz ochronę danych firmowych zarówno na urządzeniach firmowych, jak i prywatnych (BYOD).
Jak działa atak? ⚙️
Podatność znajduje się w skrypcie Bash wywoływanym przez serwer Apache za pomocą funkcji RewriteMap. Niebezpieczna obsługa danych kontrolowanych przez atakującego pozwala na wstrzyknięcie i wykonanie poleceń przez powłokę systemową.
Do przeprowadzenia ataku wystarczy wysłanie odpowiednio spreparowanego żądania HTTP GET do endpointu zaczynającego się od
/mifs/c/aftstore/fob/
CVE-2026-1340 jest często łączona z pokrewną podatnością CVE-2026-1281. Razem umożliwiają pełne przejęcie kontroli nad serwerem EPMM.
Co może zrobić atakujący? 💀
Eksperci z Unit 42 zaobserwowali, że po skutecznym ataku przestępcy instalują web shelle, oprogramowanie do kopania kryptowalut oraz trwałe backdoory zapewniające długoterminowy dostęp do systemu, nawet po zastosowaniu łatek.
W praktyce oznacza to:
☠️ pełne przejęcie serwera zarządzającego urządzeniami mobilnymi
☠️ dostęp do wszystkich zarządzanych urządzeń i danych firmowych
☠️ ruch boczny w sieci wewnętrznej
☠️ instalację ransomware lub kradzież danych uwierzytelniających
Kogo dotyczy zagrożenie? 👥
Podatność dotyczy lokalnych instalacji Ivanti EPMM we wszystkich obsługiwanych wersjach głównych do 12.7.x. Chmurowy produkt Ivanti Neurons for MDM nie jest podatny.
Co zrobić? ✅
Ivanti udostępnił łatki w postaci skryptów RPM już 29 stycznia 2026. Należy zastosować RPM 12.x.0.x lub RPM 12.x.1.x w zależności od zainstalowanej wersji. Instalacja łatki nie wymaga przestoju i nie wpływa na funkcjonalność systemu. Ważne: łatka RPM nie przeżywa aktualizacji wersji produktu i musi być ponownie zainstalowana po każdym upgrade'ie.
🔴 Krok 1 – Sprawdź, czy używasz Ivanti EPMM w wersji do 12.7.x
🔴 Krok 2 – Zastosuj odpowiedni RPM zgodnie z dokumentem Ivanti
🔴 Krok 3 – Sprawdź logi pod kątem śladów kompromitacji
🔴 Krok 4 – Jeśli podejrzewasz atak: odizoluj serwer od sieci i przeprowadź analizę incydentu
🔴 Krok 5 – Zaplanuj aktualizację do wersji 12.8.0.0, która zawiera stałą poprawkę
Oś czasu 📅
📌 22 stycznia 2026 – podatność zgłoszona
📌 29 stycznia 2026 – Ivanti publikuje advisory i łatki RPM
📌 8 kwietnia 2026 – CISA dodaje CVE-2026-1340 do katalogu KEV
📌 11 kwietnia 2026 – deadline CISA na zastosowanie łatek
Podsumowanie 🛡️
CISA wezwała organizacje do zastosowania łatek przed 11 kwietnia 2026.
Jeśli jeszcze tego nie zrobiłeś, działaj teraz. Skanery atakujących już przeszukują internet w poszukiwaniu niezałatanych serwerów w sposób w pełni zautomatyzowany.
Mogę Ci jakoś pomóc?