雨邦EPMM两个零日漏洞被主动利用，安全补丁已发布

雨邦公司已发布安全更新，以修复影响雨邦端点管理器移动版（EPMM）的两个安全漏洞。这两个漏洞已被零日攻击利用，其中一个已被美国网络安全与基础设施安全局（CISA）添加到已知被利用漏洞（KEV）目录中。

两个关键严重程度漏洞如下：

CVE-2026-1281（CVSS评分：9.8）- 代码注入漏洞，允许攻击者实现未授权的远程代码执行

CVE-2026-1340（CVSS评分：9.8）- 代码注入漏洞，允许攻击者实现未授权的远程代码执行

影响的版本包括：

EPMM 12.5.0.0及更早版本、12.6.0.0及更早版本和12.7.0.0及更早版本（在RPM 12.x.0.x中修复）

EPMM 12.5.1.0及更早版本和12.6.1.0及更早版本（在RPM 12.x.1.x中修复）

需要注意的是，RPM补丁在版本升级后不会保留，如果设备升级到新版本，必须重新应用。这些漏洞将在2026年第一季度后期发布的EPMM版本12.8.0.0中得到永久修复。

雨邦公司在安全公告中表示，"我们意识到有极少数客户的解决方案在披露时已被利用。"该公司补充说，它没有足够的信息来了解威胁行为者的战术，无法提供可靠的原子指标。

该公司指出，CVE-2026-1281和CVE-2026-1340影响内部应用程序分发和Android文件传输配置功能。这些不足之处不影响其他产品，包括雨邦Neurons移动设备管理、雨邦端点管理器（EPM）或雨邦哨兵产品。

在技术分析中，雨邦表示，根据针对EPMM中较早漏洞的以往攻击，通常看到两种形式的持久性。这包括部署Web shell和反向shell以在受损设备上建立持久化。

雨邦指出，"成功利用EPMM设备将使攻击者能够在设备上执行任意代码。除了可能向连接的环境进行横向移动外，EPMM还包含由该设备管理的设备的敏感信息。"

建议用户检查位于"/var/log/httpd/https-access_log"的Apache访问日志，以使用以下正则表达式（regex）模式查找尝试或成功利用的迹象。

该公司解释道，"这些功能的合法使用将在Apache访问日志中产生200 HTTP响应代码，而成功或尝试的利用将导致404 HTTP响应代码。"

此外，客户被要求检查以下内容，以查找任何未授权配置更改的证据：

EPMM管理员账户的新建或最近更改

身份认证配置，包括SSO和LDAP设置

针对移动设备的新推送应用

推送到设备的应用配置更改，包括内部应用

新建或最近修改的策略

网络配置更改，包括推送到移动设备的任何网络配置或VPN配置

如果检测到泄露迹象，雨邦还敦促用户从已知的良好备份恢复EPMM设备，或构建替换EPMM，然后将数据迁移到该设备。执行这些步骤后，需要进行以下更改以保护环境：

重置任何本地EPMM账户的密码

重置执行查询的LDAP和/或KDC服务账户的密码

撤销并更换用于EPMM的公共证书

重置配置有EPMM解决方案的任何其他内部或外部服务账户的密码

这一发展促使CISA将CVE-2026-1281添加到KEV目录中，要求联邦文职行政部门（FCEB）机构在2026年2月1日前应用更新。

Q&A

Q1：Ivanti EPMM漏洞CVE-2026-1281和CVE-2026-1340分别是什么？

A：这两个漏洞都是代码注入漏洞，CVSS评分都为9.8（关键严重程度），允许攻击者实现未授权的远程代码执行。它们影响雨邦端点管理器移动版的多个版本，其中CVE-2026-1281已被CISA添加到已知被利用漏洞目录中。

Q2：受到这两个Ivanti EPMM漏洞影响的产品版本有哪些？

A：EPMM 12.5.0.0及更早版本、12.6.0.0及更早版本和12.7.0.0及更早版本都受到影响。漏洞可通过RPM补丁临时修复，但升级后需重新应用。永久修复将在2026年第一季度发布的EPMM版本12.8.0.0中实现。

Q3：如果Ivanti EPMM设备被利用了应该怎么办？

A：应该从已知良好备份恢复设备或构建替换EPMM并迁移数据。然后需要重置本地和LDAP/KDC账户密码、撤销并更换公共证书、重置其他服务账户密码。同时需要检查Apache日志中的404响应代码以寻找利用迹象。