Ivanti EPMM 零日漏洞 CVE-2026-6973 被有限攻击利用

执行摘要

Ivanti 在 2026 年 5 月 7 日披露，其 Endpoint Manager Mobile (EPMM) 产品中存在一个高严重性的远程代码执行漏洞，跟踪编号为 CVE-2026-6973，正在被用于有限的零日攻击。这个漏洞由不当的输入验证引起，允许具有管理员权限的攻击者在运行 EPMM 12.8.0.0 及更早版本的受影响系统上执行任意代码。Ivanti 已在版本 12.6.1.1、12.7.0.1 和 12.8.0.1 中发布了补丁以解决此问题。该公司表示，它知道“非常有限的利用”情况，并且该漏洞需要管理员身份验证才能被利用。互联网安全监控组织 Shadowserver 目前追踪超过 850 个带有 Ivanti EPMM 指纹在线暴露的 IP 地址，其中大部分位于欧洲（508）和北美（182）。Ivanti 还修补了四个额外的高严重性 EPMM 漏洞（CVE-2026-5786、CVE-2026-5787、CVE-2026-5788 和 CVE-2026-7821），没有证据表明这些漏洞在野外被利用。

技术分析

CVE-2026-6973 是 Ivanti EPMM 中的一个不当输入验证弱点，使远程代码执行成为可能。这个漏洞被评为高严重性，尽管 Ivanti 尚未发布 CVSS 评分。成功利用需要攻击者已经拥有目标 EPMM 实例上的管理员凭据。这个身份验证要求可能将攻击面限制在管理员账户通过其他方式被泄露的场景，例如凭证填充、网络钓鱼或之前的违规行为。

这个缺陷影响所有 Ivanti EPMM 版本 12.8.0.0 及更早的本地部署。Ivanti 明确表示，这个问题不影响其基于云的统一端点管理解决方案 Ivanti Neurons for MDM，也不影响 Ivanti EPM（一个名称相似的独立产品）、Ivanti Sentry 或任何其他 Ivanti 产品。

Shadowserver 的遥测显示，大约有 850 个 EPMM 实例面向互联网，尽管尚不清楚其中有多少已经被修补。地理分布 - 超过一半在欧洲，大约五分之一在北美 - 表明这些地区的组织应该优先修补。鉴于 Ivanti EPMM 零日漏洞的历史，暴露实例的数量值得注意；该公司在 2026 年 1 月披露了另外两个关键的 EPMM 代码注入漏洞（CVE-2026-1281 和 CVE-2026-1340），这些漏洞也被用于针对“非常有限数量的客户”的零日攻击。在 2026 年 4 月，CISA 命令美国联邦机构在四天内修补 CVE-2026-1340。

Ivanti 指出，那些在 1 月事件后轮换凭证的客户，如建议的那样，将显著降低 CVE-2026-6973 的风险。这表明相同的管理员凭证可能在多个 EPMM 实例中被重用，或者 1 月的漏洞可能已经暴露了攻击者可以利用的凭证来针对 CVE-2026-6973。

与 CVE-2026-6973 一起修补的另外四个漏洞是：

• CVE-2026-5786：可能允许攻击者获得管理员访问权限。
• CVE-2026-5787：可能使注册的 Sentry 主机的冒充行为成为可能，以获得有效的 CA 签名客户端证书。
• CVE-2026-5788：可能允许调用任意方法。
• CVE-2026-7821：可能允许访问受限信息；值得注意的是，这个漏洞可以被未经身份验证的攻击者利用，但只影响配置了 Apple 设备注册的用户。

Ivanti 表示，没有证据表明这四个额外的漏洞在野外被利用。

缓解措施与建议

Ivanti 已发布修补版本 12.6.1.1、12.7.0.1 和 12.8.0.1。运行本地 EPMM 的组织应立即应用适当的更新。由于 CVE-2026-6973 需要管理员权限才能利用，防御者还应该审计所有具有 EPMM 实例管理员权限的账户，并轮换这些账户的凭证，特别是如果组织受到 2026 年 1 月 EPMM 零日漏洞（CVE-2026-1281 和 CVE-2026-1340）的影响。Ivanti 自身的指导强调，在 1 月事件后轮换凭证可以降低 CVE-2026-6973 的风险。

对于那些自 1 月以来尚未轮换凭证的组织，这应该被视为一个紧急步骤。此外，管理员应该检查 EPMM 访问日志，寻找未经授权的管理员活动的迹象，特别是来自意外的 IP 范围。鉴于 Shadowserver 数据显示超过 850 个暴露的 EPMM 实例，组织应该考虑他们的 EPMM 管理界面是否需要面向互联网；减少对受信任网络的暴露可以限制攻击面。