Uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager (EPM), identificada como CVE-2026-1603, passou a ser explorada ativamente, segundo alerta da CISA. A falha permite a atacantes remotos não autenticados contornar autenticação e roubar credenciais por meio de ataques de cross‐site scripting de baixa complexidade. A vulnerabilidade já havia sido corrigida pela Ivanti em fevereiro, mas muitas instâncias seguem expostas à internet.
A CVE-2026-1603 é uma falha no Ivanti EPM que pode ser explorada por atacantes remotos sem privilégios para contornar mecanismos de autenticação e capturar dados sensíveis de credenciais, utilizando ataques de XSS de baixa complexidade e sem necessidade de interação do usuário. A Ivanti afirmou que a vulnerabilidade foi reportada via programa de divulgação responsável e corrigida na versão EPM 2024 SU5, lançada há cerca de um mês.
A CISA adicionou a CVE-2026-1603 ao catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV), afirmando que bugs desse tipo são vetores frequentes de ataque contra o governo federal. Telemetria da Shadowserver aponta mais de 700 instâncias Ivanti EPM expostas à internet, principalmente na América do Norte, embora não haja dados públicos sobre quantas permanecem vulneráveis.
A agência ordenou que órgãos federais dos EUA apliquem o patch até 23 de março de 2026, em linha com a diretriz BOD 22‐01. Organizações privadas, inclusive na América Latina, devem atualizar imediatamente para o EPM 2024 SU5, revisar a exposição do console de gestão, restringir acesso via VPN e monitorar logs de autenticação em busca de padrões anômalos.
Sistemas Afetados
- Ivanti Endpoint Manager (EPM) versões anteriores ao 2024 SU5
- Ambientes corporativos que utilizam Ivanti EPM exposto à internet
Fonte: BleepingComputer / CISA
Ler fonte original