Zero-day crítico no Ivanti EPMM: CISA impôs prazo de quatro dias, mas centenas de servidores ainda permanecem expostos

Alerta com prazo incomum

No início de maio de 2026, a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) tomou uma medida incomum mesmo para os seus padrões: determinou que todas as agências federais corrigissem ou isolassem, em até quatro dias corridos, os sistemas rodando o Ivanti Endpoint Manager Mobile (EPMM) afetados pela vulnerabilidade catalogada como CVE-2026-6973. O prazo, com deadline fixado para a meia-noite do dia 10 de maio, reflete a gravidade avaliada pelo órgão diante de evidências concretas de exploração ativa no ambiente real.

O que é o CVE-2026-6973 e por que ele preocupa

A falha reside em um problema de validação inadequada de entrada no Ivanti EPMM — solução amplamente utilizada por organizações para gerenciar dispositivos móveis corporativos e aplicar políticas de segurança remotamente. Explorada com sucesso, a vulnerabilidade permite a um atacante que já possua credenciais administrativas executar código arbitrário no servidor comprometido. Embora a exigência de autenticação prévia eleve a barra para o invasor, especialistas alertam que o CVE-2026-6973 provavelmente é encadeado com falhas anteriores do mesmo produto — notadamente o CVE-2026-1281 e o CVE-2026-1340, ambos de execução remota sem autenticação, explorados em janeiro e abril deste ano — para escalar privilégios e completar o ataque. Todas as versões do EPMM até a 12.8.0.0 estão vulneráveis; a Ivanti disponibilizou correções nas releases 12.6.1.1, 12.7.0.1 e 12.8.0.1.

Exploração confirmada e suspeita de atores estatais

A própria Ivanti admitiu que "um número muito limitado de clientes" foi alvo de ataques direcionados antes da divulgação pública da falha, caracterizando-a como zero-day no sentido estrito do termo. A empresa optou por não detalhar setores ou geografias afetadas, mas o padrão histórico de incidentes anteriores com o EPMM aponta para suspeita de envolvimento de agentes de ameaça ligados à China — uma hipótese que autoridades de inteligência ocidentais têm associado a campanhas recorrentes contra a plataforma. A CISA adicionou o CVE-2026-6973 ao seu catálogo Known Exploited Vulnerabilities (KEV) em 7 de maio, elevando para 34 o número de vulnerabilidades da Ivanti presentes na lista.

Centenas de servidores ainda na mira

Mesmo com o prazo federal já encerrado e a cobertura midiática do incidente, dados da plataforma Shadowserver indicavam cerca de 800 appliances EPMM ainda acessíveis publicamente pela internet nas semanas seguintes ao alerta — sem informações precisas sobre quantos desses haviam recebido a atualização de segurança. O número evidencia uma lacuna persistente entre a emissão de diretivas de resposta rápida e a capacidade real de execução das equipes de TI, em especial em ambientes de grande escala ou com processos de change management mais rígidos. Para organizações que implementaram as recomendações da CISA após o episódio de janeiro — incluindo a rotação de senhas administrativas — o risco do CVE-2026-6973 é considerado significativamente menor, segundo a própria Ivanti.

O que fazer agora

Organizações que ainda não aplicaram os patches devem priorizar a atualização para as versões corrigidas do EPMM imediatamente. Além disso, a CISA recomenda revisar o acesso a contas privilegiadas, monitorar logs em busca de atividades anômalas, restringir o acesso externo aos consoles de gerenciamento e implementar segmentação de rede como camada adicional de contenção. Caso haja indícios de comprometimento, a recomendação é iniciar análise forense antes de restaurar os sistemas a partir de backups limpos. O episódio reforça um padrão já consolidado em 2025 e 2026: produtos de gerenciamento de acesso remoto e dispositivos de borda continuam sendo vetores privilegiados de ataques sofisticados, exigindo atenção permanente de equipes de segurança.

Fonte: SempreUpdate | Corroborado por BleepingComputer e SecurityWeek.