Ivanti Peringatkan Dua Celah Kritis EPMM yang Dieksploitasi sebagai Zero-Day

Ivanti mengumumkan adanya dua kerentanan kritis pada Ivanti Endpoint Manager Mobile (EPMM) yang telah dieksploitasi sebagai zero-day di alam liar. Kedua celah tersebut dilacak sebagai CVE-2026-1281 dan CVE-2026-1340, masing-masing memiliki skor CVSS 9,8 (critical).

Menurut Ivanti, kerentanan ini berupa code-injection yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer tanpa autentikasi pada appliance EPMM yang rentan. Ivanti mengonfirmasi bahwa sejumlah kecil pelanggan terdampak pada saat pengungkapan.

Dampak dan Risiko

Jika berhasil dieksploitasi, penyerang dapat:

• Mengambil alih appliance EPMM dan mengeksekusi perintah arbitrer
• Mengakses data sensitif, termasuk akun admin dan pengguna, alamat email
• Melihat detail perangkat mobile yang dikelola (nomor telepon, IP, aplikasi terpasang, IMEI/MAC)
• Mengakses data lokasi (GPS/cell tower) bila pelacakan aktif
• Mengubah konfigurasi perangkat via API atau web console, termasuk pengaturan autentikasi

Ivanti menyebut eksploitasi terjadi melalui fitur In-House Application Distribution dan Android File Transfer Configuration.

Mitigasi Sementara (Hotfix)

Ivanti telah merilis RPM scripts sebagai mitigasi tanpa downtime dan tanpa dampak fungsional:

• RPM 12.x.0.x → untuk EPMM 12.5.0.x, 12.6.0.x, 12.7.0.x
• RPM 12.x.1.x → untuk EPMM 12.5.1.0, 12.6.1.0

Catatan penting: Hotfix tidak bertahan saat upgrade versi. Jika appliance di-upgrade sebelum perbaikan permanen tersedia, hotfix harus diterapkan ulang.

Perbaikan permanen dijadwalkan hadir di EPMM 12.8.0.0 pada Q1 2026.

Indikasi Eksploitasi & Deteksi

Ivanti menyatakan tidak memiliki IOC yang andal karena cakupan korban terbatas. Namun, admin disarankan memeriksa Apache access log di:

/var/log/httpd/https-access_log

dengan pola berikut:

^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

Permintaan sah biasanya mengembalikan HTTP 200, sementara upaya eksploitasi cenderung menghasilkan 404. Perlu diingat, setelah kompromi, log bisa diubah/dihapus; jika tersedia, gunakan log off-device.

Tindakan Jika Diduga Terkrompromi

Ivanti tidak merekomendasikan pembersihan manual. Lakukan salah satu:

• Restore dari backup bersih sebelum waktu eksploitasi, atau
• Rebuild appliance lalu migrasi data ke sistem pengganti

Langkah lanjutan yang disarankan:

• Reset password akun lokal EPMM
• Reset akun layanan LDAP/KDC
• Cabut & ganti sertifikat publik EPMM
• Reset akun layanan internal/eksternal lain yang terintegrasi
• Tinjau log Sentry, karena Sentry dapat men-tunnel trafik ke aset jaringan internal (potensi lateral movement)

Status Eksploitasi Aktif

CISA telah memasukkan CVE-2026-1281 ke dalam Known Exploited Vulnerabilities (KEV), menandakan eksploitasi aktif. Badan sipil federal AS diwajibkan menambal atau menghentikan penggunaan sistem rentan sebelum 1 Februari 2026. (CISA belum menambahkan CVE-2026-1340 ke KEV; Ivanti sedang dimintai konfirmasi.)

Kesimpulan:
Admin EPMM harus segera menerapkan RPM mitigasi, memantau log untuk indikasi eksploitasi, dan menyiapkan upgrade ke 12.8.0.0 saat tersedia. Mengingat status zero-day aktif, penundaan meningkatkan risiko pengambilalihan dan kebocoran data.