Güvenlik araştırmacıları, iki kritik sıfır gün açığının ortaya çıkmasının ardından, geniş çaplı bir siber kampanyanın yaygın olarak kullanılan mobil cihaz yönetim platformu Ivanti Endpoint Manager Mobile (EPMM) sistemlerini hedef aldığını bildirdi. Saldırganlar, yazılımın yamalanmamış örneklerini tespit etmek ve istismar etmek için on binlerce IP adresiyle interneti tarıyor.
Ivanti, 29 Ocak 2026’da CVE-2026-1281 ve CVE-2026-1340 olarak izlenen zafiyetleri açıkladı. Her ikisi de etkilenen sunucularda uzaktan ve doğrulanmamış kod çalıştırma riskini yansıtan ciddi puanlar taşır. Açıklamadan hemen sonra kavram kanıtı istismarları kamuoyuna açıklandı ve bu da birden fazla tehdit aktörünün tarama ve sömürü girişimlerinde hızlı artışa yol açtı.
Tehdit izleme verileri, bazı günlerde saldırganların savunmasız EPMM kurulumlarını araştıran 28.000’den fazla farklı IP adresi topladığını ve kötü amaçlı faaliyeti ölçmek için kullanılan tek bir bal kaptasına karşı 39.000’den fazla bağlantının kayıtlı olduğunu gösteriyor. Buna karşılık, diğer yüksek profilli güvenlik açıklıkları genellikle çok daha az kaynaktan tarama çekmekte olur.
Güvenlik kuruluşları, Almanya, Amerika Birleşik Devletleri, Birleşik Krallık, İsviçre, Hong Kong, Çin, Fransa, İspanya, Hollanda ve İsveç’te yüzlerce internete maruz kalan EPMM sistemi tespit etti. Kurumsal güvenlik duvarlarının arkasında daha fazla kurulum var ve bu kurulumlar doğrudan internet erişiminden korunmalıdır.
Ayrı raporlar, bu güvenlik açıklarının Avrupa’daki hükümet sistemlerine yönelik doğrulanmış ihlallerle bağlantılı olduğunu gösteriyor. Avrupa Komisyonu, personelin mobil cihazlarını yönetmekten sorumlu altyapıya yönelik bir siber saldırıyı tespit ettiğini ve kontrol altına aldığını ve bu saldırının sınırlı kişisel bilgilere erişime izin vermiş olabileceğini açıkladı. Finlandiya ve Hollanda’da da hükümet kurumlarına yönelik benzer saldırılar aynı kusurların sömürülmesine bağlanmıştır.
Ivanti, müşterilere ve yöneticilere acil durum yamaları uygulamalarını tavsiye etti ve potansiyel sistimarı değerlendirmeye yardımcı olacak rehberler ve araçlar yayınladı. Yamalar hatalar ortaya çıktıktan kısa bir süre sonra erişilebilir hale geldi ve şirket, etkilenen sistemleri hemen güncellemeye teşvik ederek tehlikenin önlenmesini önledi.
Uzmanlar, kamuoyuna açıklandıktan sonra kitlesel sömürünün hızla ortaya çıkmasının, yaygın olarak kullanılan yönetim yazılımlarında sıfır gün açıklıklarıyla ilgili riskleri ortaya koyduğunu söyledi. EPMM sistemleri, güvenlik politikalarını uygulamak, çalışan cihazlarını yönetmek ve iOS, Android ve Windows ortamlarında uygulama sunmak için kullanılır. Bir saldırgan bu tür sistemlerin kontrolünü ele geçirirse, hassas kurumsal verilere ulaşabilir ve fark edilmeden zararlı kodlar yayabilir.
Araştırmacılar, yamalanmamış örneklerin açık kaldığını ve yöneticiler ağlarını güvence altına alıp en son güncellemeleri uygulamadıkça kötü niyetli aktörler tarafından taramaya devam etmenin muhtemel olduğunu belirtiyor. Kampanya, operasyonel süreklilik ve veri koruması için cihaz yönetim platformlarına bağımlı kuruluşlar için daha geniş güvenlik zorluklarını vurguluyor.