雨邦公司已发布安全更新,以修复影响雨邦端点管理器移动版(EPMM)的两个安全漏洞。这两个漏洞已被零日攻击利用,其中一个已被美国网络安全与基础设施安全局(CISA)添加到已知被利用漏洞(KEV)目录中。
两个关键严重程度漏洞如下:
CVE-2026-1281(CVSS评分:9.8)- 代码注入漏洞,允许攻击者实现未授权的远程代码执行
CVE-2026-1340(CVSS评分:9.8)- 代码注入漏洞,允许攻击者实现未授权的远程代码执行
影响的版本包括:
EPMM 12.5.0.0及更早版本、12.6.0.0及更早版本和12.7.0.0及更早版本(在RPM 12.x.0.x中修复)
EPMM 12.5.1.0及更早版本和12.6.1.0及更早版本(在RPM 12.x.1.x中修复)
需要注意的是,RPM补丁在版本升级后不会保留,如果设备升级到新版本,必须重新应用。这些漏洞将在2026年第一季度后期发布的EPMM版本12.8.0.0中得到永久修复。
雨邦公司在安全公告中表示,"我们意识到有极少数客户的解决方案在披露时已被利用。"该公司补充说,它没有足够的信息来了解威胁行为者的战术,无法提供可靠的原子指标。
该公司指出,CVE-2026-1281和CVE-2026-1340影响内部应用程序分发和Android文件传输配置功能。这些不足之处不影响其他产品,包括雨邦Neurons移动设备管理、雨邦端点管理器(EPM)或雨邦哨兵产品。
在技术分析中,雨邦表示,根据针对EPMM中较早漏洞的以往攻击,通常看到两种形式的持久性。这包括部署Web shell和反向shell以在受损设备上建立持久化。
雨邦指出,"成功利用EPMM设备将使攻击者能够在设备上执行任意代码。除了可能向连接的环境进行横向移动外,EPMM还包含由该设备管理的设备的敏感信息。"
建议用户检查位于"/var/log/httpd/https-access_log"的Apache访问日志,以使用以下正则表达式(regex)模式查找尝试或成功利用的迹象。
该公司解释道,"这些功能的合法使用将在Apache访问日志中产生200 HTTP响应代码,而成功或尝试的利用将导致404 HTTP响应代码。"
此外,客户被要求检查以下内容,以查找任何未授权配置更改的证据:
EPMM管理员账户的新建或最近更改
身份认证配置,包括SSO和LDAP设置
针对移动设备的新推送应用
推送到设备的应用配置更改,包括内部应用
新建或最近修改的策略
网络配置更改,包括推送到移动设备的任何网络配置或VPN配置
如果检测到泄露迹象,雨邦还敦促用户从已知的良好备份恢复EPMM设备,或构建替换EPMM,然后将数据迁移到该设备。执行这些步骤后,需要进行以下更改以保护环境:
重置任何本地EPMM账户的密码
重置执行查询的LDAP和/或KDC服务账户的密码
撤销并更换用于EPMM的公共证书
重置配置有EPMM解决方案的任何其他内部或外部服务账户的密码
这一发展促使CISA将CVE-2026-1281添加到KEV目录中,要求联邦文职行政部门(FCEB)机构在2026年2月1日前应用更新。
Q&A
Q1:Ivanti EPMM漏洞CVE-2026-1281和CVE-2026-1340分别是什么?
A:这两个漏洞都是代码注入漏洞,CVSS评分都为9.8(关键严重程度),允许攻击者实现未授权的远程代码执行。它们影响雨邦端点管理器移动版的多个版本,其中CVE-2026-1281已被CISA添加到已知被利用漏洞目录中。
Q2:受到这两个Ivanti EPMM漏洞影响的产品版本有哪些?
A:EPMM 12.5.0.0及更早版本、12.6.0.0及更早版本和12.7.0.0及更早版本都受到影响。漏洞可通过RPM补丁临时修复,但升级后需重新应用。永久修复将在2026年第一季度发布的EPMM版本12.8.0.0中实现。
Q3:如果Ivanti EPMM设备被利用了应该怎么办?
A:应该从已知良好备份恢复设备或构建替换EPMM并迁移数据。然后需要重置本地和LDAP/KDC账户密码、撤销并更换公共证书、重置其他服务账户密码。同时需要检查Apache日志中的404响应代码以寻找利用迹象。
热门跟贴