Pesquisadores de segurança relataram que uma campanha cibernética em grande escala está mirando sistemas que rodam o Ivanti Endpoint Manager Mobile (EPMM), uma plataforma de gerenciamento de dispositivos móveis amplamente utilizada, após a divulgação de duas vulnerabilidades críticas zero-day. Atacantes estão escaneando a internet com dezenas de milhares de endereços IP para identificar e explorar instâncias não corrigidas do software.
A Ivanti divulgou as vulnerabilidades, rastreadas como CVE-2026-1281 e CVE-2026-1340, em 29 de janeiro de 2026. Ambos apresentam pontuações severas que refletem o risco de execução remota e não autenticada de código em servidores afetados. Exploits de prova de conceito foram tornados públicos imediatamente após a divulgação, levando a um rápido aumento nas tentativas de varredura e exploração por múltiplos agentes ameaçadores.
Dados de monitoramento de ameaças mostram que, em alguns dias, os atacantes acumularam mais de 28.000 endereços IP distintos sondando instalações vulneráveis de EPMM, com mais de 39.000 conexões registradas contra um único honeypot usado para medir atividades maliciosas. Em comparação, outras vulnerabilidades de alto perfil normalmente atraem varreduras de muito menos fontes.
Organizações de segurança identificaram centenas de sistemas EPMM expostos à internet na Alemanha, Estados Unidos, Reino Unido, Suíça, Hong Kong, China, França, Espanha, Holanda e Suécia. Muitas outras instalações existem atrás de firewalls corporativos, onde deveriam estar protegidas contra acesso direto à internet.
Relatórios separados indicam que as vulnerabilidades foram ligadas a violações confirmadas de sistemas governamentais na Europa. A Comissão Europeia afirmou que detectou e conteveu um ataque cibernético à infraestrutura responsável pelo gerenciamento dos dispositivos móveis da equipe, que pode ter permitido acesso a informações pessoais limitadas. Ataques semelhantes contra agências governamentais na Finlândia e na Holanda foram atribuídos à exploração das mesmas falhas.
A Ivanti aconselhou clientes e administradores a aplicarem patches de emergência e divulgou orientações e ferramentas para ajudar a avaliar possíveis explorações. Os patches ficaram disponíveis logo após as falhas serem divulgadas, e a empresa incentivou as organizações a atualizarem os sistemas afetados imediatamente para evitar comprometimentos.
Especialistas disseram que o rápido surgimento da exploração em massa após a divulgação pública ressalta os riscos associados a vulnerabilidades zero-day em softwares de gerenciamento amplamente implantados. Os sistemas EPMM são usados para aplicar políticas de segurança, gerenciar dispositivos de funcionários e entregar aplicações em ambientes iOS, Android e Windows. Se um atacante assumir o controle desses sistemas, ele pode potencialmente acessar dados corporativos sensíveis e implantar códigos maliciosos sem ser notado.
Pesquisadores alertam que instâncias não corrigidas permanecem expostas e que a continuidade da varredura por atores maliciosos é provável, a menos que os administradores protejam suas redes e apliquem as atualizações mais recentes. A campanha destaca desafios de segurança mais amplos para organizações que dependem de plataformas de gerenciamento de dispositivos para continuidade operacional e proteção de dados.