Observações de inteligência de ameaças indicam que um único ator é responsável pela exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-21962 e CVE-2026-24061. Ambas as falhas, que permitem a execução remota de código (RCE) sem autenticação, foram destacadas em um aviso de segurança da Ivanti, que também anunciou correções temporárias. A empresa de inteligência GreyNoise revelou que um único endereço IP, hospedado em uma infraestrutura ‘à prova de balas’, é responsável por mais de 83% das atividades de exploração relacionadas a essas vulnerabilidades. Entre 1 e 9 de fevereiro, foram observadas 417 sessões de exploração, com um pico significativo em 8 de fevereiro, quando 269 sessões foram registradas em um único dia. A maioria das sessões utilizou callbacks DNS do tipo OAST, sugerindo atividade de corretores de acesso inicial. As correções da Ivanti não são permanentes, e a empresa planeja lançar patches completos no primeiro trimestre deste ano. Até lá, recomenda-se a utilização de pacotes RPM específicos para versões vulneráveis do EPMM.
Fonte: https://www.bleepingcomputer.com/news/security/one-threat-actor-responsible-for-83-percent-of-recent-ivanti-rce-attacks/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
14/02/2026 • Risco: CRITICO
VULNERABILIDADE
Ator de ameaça explora vulnerabilidades críticas no Ivanti EPMM
RESUMO EXECUTIVO
As vulnerabilidades CVE-2026-21962 e CVE-2026-24061 no Ivanti EPMM estão sendo ativamente exploradas, com um único IP responsável pela maior parte das atividades. A exploração permite a execução remota de código, representando um risco significativo para a segurança das informações e a conformidade regulatória.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a incidentes de segurança e conformidade.
Operacional
Possibilidade de execução remota de código em sistemas vulneráveis.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setores Governamentais']
📊 INDICADORES CHAVE
417 sessões de exploração observadas.
Indicador
269 sessões em um único dia (8 de fevereiro).
Contexto BR
83% das atividades de exploração originadas de um único IP.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas relacionadas ao Ivanti EPMM.
2
Aplicar correções temporárias recomendadas pela Ivanti e considerar a construção de uma nova instância do EPMM.
3
Monitorar continuamente as atividades de exploração e os endereços IP associados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a exploração ativa de vulnerabilidades críticas que podem comprometer a segurança de sistemas amplamente utilizados.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD em caso de exploração bem-sucedida.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
