Giriş
Son günlerde, Ivanti Endpoint Manager Mobile (EPMM) üzerinde tespit edilen kritik güvenlik açığı, siber suçlular tarafından yaygın bir şekilde hedef alınıyor. Bu durum, kullanıcıların büyük risk altında olduğunu gösteriyor ve hızlıca çözüm arayışını zorunlu kılıyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-1281 (CVSS puanı: 9.8) ve CVE-2026-1340 ile ilişkilidir. Bu açıktan yararlanarak saldırganlar, kimlik doğrulaması gerektirmeden uzaktan kod çalıştırma gerçekleştirebiliyor. GreyNoise güvenlik firması, 1-9 Şubat 2026 tarihleri arasında 8 farklı IP adresinden toplam 417 istismar denemesi kaydetmiştir. Bu denemelerin %83’ü sadece bir IP adresinden, yani 193.24.123.42‘den gerçekleşmiştir.
Etkilenen Sistemler
Bu güvenlik açığı, Ivanti EPMM’yi ve bağlı cihazları etkiliyor. Ayrıca, birçok Avrupa kuruluşu, bu zararlı etkinliklerden etkilenmiş durumda. Bilgiler doğrultusunda, aynı IP adresinin üç farklı güvenlik açığıyla (CVE) ilgisi olduğu tespit edilmiştir.
Çözüm ve Korunma
Ivanti EPMM kullanıcılarının alması gereken önlemler şunlardır:
- Güvenlik yamanızı uygulayın.
- İnternete açık Mobil Cihaz Yönetimi (MDM) altyapısını inceleyin.
- DNS loglarını kontrol edin ve OAST (out-of-band application security testing) desenli geri dönüşleri inceleyin.
- EPMM örneklerinde “/mifs/403.jsp” yolunu izleyin.
- Ağ sınırında PROSPERO’nun otonom sistemini (AS200593) engelleyin.
Sonuç
EPMM’nin ihlali, tüm kuruluşlar için cihaz yönetim altyapısına erişim sağlar ve bu durum, geleneksel ağ segmentasyonunu atlayarak yan hareketleri kolaylaştırır. Internet üzerinden erişilebilir MDM, VPN konsantreleri veya diğer uzaktan erişim altyapılarınız varsa, kritik güvenlik açıklarının açıklanmasından sonra birkaç saat içinde istismar edilme riskiyle karşı karşıya olduğunuzu unutmayın. Hızla yukarıda belirtilen önlemleri alarak sistemlerinizi güvence altına almalısınız.
