Ivanti EPMM’de İki Kritik Zero-Day RCE Açığı: Güncellemeler ve Güvenlik Önerileri

Anasayfa » Ivanti EPMM’de İki Kritik Zero-Day RCE Açığı: Güncellemeler ve Güvenlik Önerileri
Güvenlik Güncellemeleri, Siber Tehditler, Zafiyetler
Şubat 1, 2026Şubat 1, 2026Tarafından Cybernews.TR
0
Ivanti EPMM’de İki Kritik Zero-Day RCE Açığı: Güncellemeler ve Güvenlik Önerileri

Ivanti Endpoint Manager Mobile (EPMM) platformunda, kimlik doğrulaması gerektirmeden uzaktan kod çalıştırılmasına olanak tanıyan iki kritik sıfır gün (zero-day) uzaktan kod yürütme (RCE) açığı tespit edildi ve aktif olarak istismar ediliyor. Bu güvenlik açıkları, özellikle mobil cihaz yönetimi yapan kurumları ve sektörleri hedef alıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-1281 numaralı açığı Bilinen İstismar Edilen Açıklar (KEV) listesine ekleyerek, Federal Sivil Yürütme Dalları (FCEB) kurumlarının 1 Şubat 2026 tarihine kadar güncellemeleri uygulamasını zorunlu kıldı.

Saldırının Genel Çerçevesi

İki kritik açık CVE-2026-1281 ve CVE-2026-1340, her ikisi de CVSS 9.8 puanıyla yüksek şiddette RCE zafiyetleri olarak sınıflandırıldı. Bu açıklarda, saldırganlar kimlik doğrulaması olmadan hedef EPMM cihazlarında kod enjeksiyonu yapabiliyor. Teknik analizlerde, saldırganların genellikle web kabukları ve ters kabuklar aracılığıyla kalıcılık sağladığı gözlemlendi. İstismar edilen cihazlar, bağlı oldukları ağda yatay hareket kabiliyeti kazanırken, yönetilen mobil cihazlara ait hassas verilere de erişim sağlanabiliyor.

Hangi Sistemler Risk Altında?

Etkilenen sürümler arasında EPMM 12.5.0.0 ve öncesi, 12.6.0.0 ve öncesi ile 12.7.0.0 ve öncesi yer alıyor. Bu sürümler için RPM 12.x.0.x ve 12.x.1.x yamaları yayınlandı ancak bu yamaların kalıcı olmadığı, sürüm yükseltmesi yapıldığında yeniden uygulanması gerektiği bildirildi. Kalıcı çözüm, 2026’nın ilk çeyreğinde çıkması planlanan EPMM 12.8.0.0 sürümünde sağlanacak. Ayrıca, bu açıklar Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) veya Ivanti Sentry gibi diğer Ivanti ürünlerini etkilemiyor.

Saldırı Zinciri ve Teknik Detaylar

İstismar zinciri genellikle şu adımlardan oluşuyor:

  • Başlangıçta, saldırganlar web kabukları veya ters kabuklar aracılığıyla hedef EPMM cihazına erişim sağlıyor.
  • Kimlik doğrulaması olmadan kod enjeksiyonu gerçekleştiriliyor ve cihazda kalıcılık sağlanıyor.
  • Bu erişimle bağlı ağda yatay hareket yapılarak yönetilen mobil cihazlara ait hassas bilgiler ele geçiriliyor.

Bu tür saldırılar, MITRE ATT&CK teknikleri arasında T1059 (Komut ve Betik Çalıştırma) ve T1543 (Servis ve İşlem Oluşturma) gibi yöntemlerle ilişkilendirilebilir.

Siber Güvenlik Ekipleri İçin Öneriler

Güvenlik ekiplerinin aşağıdaki adımları uygulaması kritik önem taşıyor:

  • Apache erişim günlüklerinde “/var/log/httpd/https-access_log” dosyasında aşağıdaki regex kalıbı ile istismar girişimi veya başarılı saldırı belirtilerini düzenli olarak kontrol edin: ^(?!127\.0\.0\.1:\d+.*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404. Başarılı istismarlar 404 HTTP yanıt kodları ile sonuçlanır.
  • Yeni veya son zamanlarda değiştirilen EPMM yönetici hesapları, SSO ve LDAP kimlik doğrulama ayarları, mobil cihazlara gönderilen push uygulamaları ve dahili uygulamalar dahil uygulama yapılandırmaları ile ağ ve VPN yapılandırmalarını gözden geçirin.
  • İhlal tespit edilirse, EPMM cihazını bilinen güvenli bir yedekten geri yükleyin veya yeni bir cihaz kurarak verileri taşıyın.
  • Yerel EPMM hesapları, LDAP/KDC hizmet hesapları ve EPMM ile ilişkili diğer hizmet hesaplarının şifrelerini sıfırlayın.
  • EPMM için kullanılan genel sertifikayı iptal edip yenileyin.
  • EDR ve SIEM sistemlerinde bu zafiyetlere yönelik özel kural ve uyarılar oluşturun, ağ segmentasyonu ve Zero Trust prensiplerini uygulayarak saldırı yüzeyini azaltın.

Regülasyon ve Uyumluluk Boyutu

CISA’nın KEV kataloğuna eklediği CVE-2026-1281 açığı, özellikle ABD’deki federal kurumlar için kritik bir uyumluluk zorunluluğu doğuruyor. 1 Şubat 2026 tarihine kadar ilgili yamaların uygulanması gerekiyor. Bu durum, uluslararası kurumlar ve özel sektör için de benzer güncelleme ve uyum süreçlerini hızlandırma ihtiyacını ortaya koyuyor.

Teknik Özet

  • Zararlılar/Araçlar: Web kabukları, ters kabuklar
  • Hedef Sektörler: Kurumsal mobil cihaz yönetimi, kamu ve özel sektör
  • Kullanılan Zafiyetler: CVE-2026-1281, CVE-2026-1340 (uzaktan kod yürütme, kimlik doğrulaması gerektirmeyen)
  • Saldırı Zinciri: EPMM cihazına erişim → kod enjeksiyonu → kalıcılık sağlama → yatay hareket → hassas veri erişimi
  • Önerilen Savunma Yaklaşımı: Güncelleme ve yama uygulama, düzenli log analizi, EDR ve SIEM entegrasyonu, MFA ve Zero Trust mimarisi

Bu gelişmeler, e-posta güvenliği, bulut güvenliği ve olay müdahale süreçlerinin önemini bir kez daha ortaya koyuyor. Kurumsal ağlarda segmentasyon ve IAM politikalarının güçlendirilmesi, benzer saldırıların önüne geçilmesinde kritik rol oynayacaktır.

, , , , , , ,