AO VIVO
01 Ivanti EPM sob ataque com exploração ativa da CVE-2026-1603 /// 02 CVE-2026-22719 em VMware Aria Operations segue como prioridade crítica /// 03 Mail2Shell: CVE-2026-28289 permite ataque zero-click ao FreeScout /// 04 Falhas críticas em Hikvision e Rockwell seguem na mira de atacantes /// 05 Boletim Android de março corrige CVE-2026-21385 em chips Qualcomm /// 01 Ivanti EPM sob ataque com exploração ativa da CVE-2026-1603 /// 02 CVE-2026-22719 em VMware Aria Operations segue como prioridade crítica /// 03 Mail2Shell: CVE-2026-28289 permite ataque zero-click ao FreeScout /// 04 Falhas críticas em Hikvision e Rockwell seguem na mira de atacantes /// 05 Boletim Android de março corrige CVE-2026-21385 em chips Qualcomm ///
Vulnerabilidade

Ivanti EPM sob ataque com exploração ativa da CVE-2026-1603

EQUIPE CYBERBOX THREAT INTEL · 11 Março 2026 · 6 min de leitura

Uma falha de alta severidade no Ivanti Endpoint Manager (CVE-2026-1603) segue em exploração ativa, permitindo a atacantes remotos contornar autenticação via XSS e capturar sessões de administradores. A vulnerabilidade foi recentemente incluída no catálogo de vulnerabilidades exploradas (KEV) de órgão regulador dos EUA, com prazo de correção obrigatório ainda em março. Organizações que utilizam o EPM com console exposto à internet correm risco elevado de comprometimento em cadeia.

A CVE-2026-1603 afeta o Ivanti Endpoint Manager e decorre de validação insuficiente de entradas em endpoints do console web, possibilitando injeção de scripts maliciosos armazenados (XSS) em campos acessíveis sem autenticação plena. Em cenários observados, atacantes exploram essa superfície para forçar navegadores de administradores a executar código que exfiltra cookies de sessão, tokens e credenciais, efetivamente permitindo o bypass de autenticação.

Como o EPM costuma operar com privilégios elevados e acesso amplo a estações de trabalho e servidores, o comprometimento do console rapidamente se traduz em capacidade de distribuição de payloads, movimentação lateral e implantação de ferramentas de comando e controle em grande escala. Ambientes de serviços gerenciados e MSSPs que concentram múltiplos clientes no mesmo console tornam‑se alvo particularmente atraente para campanhas de extorsão e espionagem.

A recomendação é aplicar imediatamente o update para o Ivanti EPM 2024 SU5 ou versão mais recente, que corrige a falha, além de remover a exposição direta do console à internet, restringindo o acesso por VPN e listas de controle de IP. Equipes de segurança devem revisar logs de acesso ao console em busca de payloads XSS suspeitos, redefinir sessões de administradores, rotacionar credenciais e monitorar sinais de pós‑exploração em endpoints gerenciados.

Sistemas Afetados

  • Ivanti Endpoint Manager (EPM) versões anteriores à 2024 SU5
  • Ambientes corporativos que utilizam EPM com console web exposto
Contexto Técnico
CVE-2026-1603 CVSS: 7.5 Data: 11 Março 2026 Categoria: Vulnerabilidade / XSS MITRE: T1190 (Exploit Public-Facing Application) Correção: EPM 2024 SU5

Fonte: Boletins de segurança de fornecedores e órgão regulador de cibersegurança dos EUA
Ler fonte original

Tags: Ivanti CVE CISA KEV XSS endpoint management
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, campanhas ativas, vulnerabilidades críticas e riscos para o mercado brasileiro.

Leia Também