**Ivanti** emitiu um aviso crítico aos seus clientes, aconselhando-os a corrigir uma vulnerabilidade de execução remota de código (RCE) de alta gravidade, **CVE-2026-6973**, que afeta o **Endpoint Manager Mobile (EPMM)**. Essa falha está atualmente sendo explorada em ataques zero-day. ### Detalhes Técnicos da CVE-2026-6973 A vulnerabilidade decorre de uma fraqueza de Validação Incorreta de Entrada, permitindo que atacantes remotos com privilégios administrativos executem código arbitrário em sistemas que executam o **EPMM** versão 12.8.0.0 e anteriores. Isso destaca a necessidade crítica de correção rápida para mitigar a exploração potencial. ### Passos de Mitigação **Ivanti** aconselha os clientes a instalarem as seguintes versões corrigidas do **Ivanti EPMM**: 12.6.1.1, 12.7.0.1 e 12.8.0.1. Adicionalmente, a empresa recomenda uma revisão completa de todas as contas com direitos administrativos e uma rotação de credenciais onde necessário. Essa abordagem proativa pode reduzir significativamente o risco de exploração. > "No momento da divulgação, estamos cientes de uma exploração muito limitada da **CVE-2026-6973**, que requer autenticação de administrador para exploração bem-sucedida. Não estamos cientes de nenhum cliente sendo explorado pelas outras vulnerabilidades divulgadas hoje", disse a empresa. É importante notar que a vulnerabilidade afeta apenas o produto **EPMM** on-premise e não está presente no **Ivanti Neurons for MDM**, **Ivanti EPM**, **Ivanti Sentry** ou outros produtos **Ivanti**. ### Exposição e Monitoramento **Shadowserver** está atualmente rastreando mais de 850 endereços IP com impressões digitais de **Ivanti EPMM** expostas online, com uma porção significativa localizada na Europa (508) e América do Norte (182). Embora esses dados forneçam insights sobre a exposição potencial, o número de sistemas já corrigidos contra a **CVE-2026-6973** permanece desconhecido.  *IPs de Ivanti EPMM expostos online (Shadowserver)* ### Vulnerabilidades Adicionais Corrigidas Além da **CVE-2026-6973**, **Ivanti** também lançou correções para quatro outras vulnerabilidades de alta gravidade no **EPMM**: **CVE-2026-5786**, **CVE-2026-5787**, **CVE-2026-5788** e **CVE-2026-7821**. Essas vulnerabilidades poderiam permitir que atacantes obtivessem acesso administrativo, se passassem por hosts Sentry registrados, invocassem métodos arbitrários e acessassem informações restritas. **Ivanti** declarou que não há evidências de que essas falhas estejam sendo exploradas ativamente. A **CVE-2026-7821** afeta apenas usuários que utilizam e configuraram o **Apple Device Enrollment**. ### Histórico Recente de Vulnerabilidades no Ivanti EPMM Em janeiro, **Ivanti** divulgou duas vulnerabilidades críticas de injeção de código no **EPMM**, **CVE-2026-1281** e **CVE-2026-1340**, que foram exploradas em ataques zero-day afetando um número limitado de clientes. > "Se os clientes seguiram a recomendação da **Ivanti** em janeiro de rotacionar credenciais caso tenham sido explorados com **CVE-2026-1281** e **CVE-2026-1340**, então seu risco de exploração pela **CVE-2026-6973** é significativamente reduzido", acrescentou a empresa. ### Envolvimento da CISA Em abril, a **Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA)** instruiu as agências do governo dos EUA a protegerem seus sistemas contra ataques à **CVE-2026-1340** em quatro dias, ressaltando a gravidade dessas vulnerabilidades. Múltiplos zero-days no **Ivanti EPMM** foram explorados nos últimos anos, levando a violações em diversos alvos, incluindo agências governamentais em todo o mundo. Até o momento, a **CISA** sinalizou 33 vulnerabilidades da **Ivanti** como exploradas ativamente, sendo que 12 delas foram abusadas por operações de ransomware. **Ivanti** fornece produtos de gerenciamento de ativos de TI para mais de 40.000 clientes globalmente através de uma rede de mais de 7.000 parceiros. [99% do que a Mythos encontrou ainda não foi corrigido.](https://hubs.li/Q04crVgD0) IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)