Ivanti Endpoint Manager Mobile (EPMM) 近期爆發了多項嚴重安全漏洞,其中最受關注的是 CVE-2026-6973。這是一個允許遠端程式碼執行(Remote Code Execution, RCE)的漏洞,意即攻擊者可以在受害伺服器上執行任意指令,進而完全掌控系統。目前該漏洞已被證實存在實際的攻擊案例,且已被美國 CISA 列入已知被利用漏洞目錄。
理解 RCE 的風險與觸發條件
對於初入行的工程師來說,必須理解 RCE 是最高風險等級的漏洞之一。在 CVE-2026-6973 的案例中,其核心問題在於輸入驗證不足(Improper Input Validation)。簡單來說,系統在接收使用者輸入的資料時,沒有經過嚴格的檢查或過濾,導致攻擊者可以將惡意指令偽裝成正常資料傳送給伺服器,而伺服器則在不知情的情況下執行了這些指令。
然而,這個漏洞有一個關鍵的限制條件:攻擊者必須擁有具備管理權限的認證身分(Authenticated User with Administrative Access)。這意味著攻擊者不能直接從外部隨意入侵,必須先取得管理員帳號。
攻擊路徑的連鎖反應
雖然 CVE-2026-6973 需要管理權限,但我們不能因此掉以輕心。在資安實務中,攻擊者通常會採取連鎖攻擊(Attack Chain)。例如,攻擊者可能會先利用另一個漏洞取得低權限帳號,再透過權限提升漏洞獲取管理權限,最後才利用 CVE-2026-6973 執行 RCE 來完全控制伺服器。
值得注意的是,Ivanti 提到,如果企業在先前針對 CVE-2026-1281 與 CVE-2026-1340 的漏洞修補中,有按照建議執行憑證輪替(Rotate Credentials,即強制更改所有密碼與金鑰),那麼被利用此漏洞的風險將大幅降低。這說明了憑證管理在防禦鏈中的重要性。
除 RCE 外的其他關鍵漏洞
除了上述漏洞,Ivanti 同時修補了四個其他漏洞,這些漏洞共同構成了更完整的威脅面。
首先是存取控制失效(Improper Access Control)。CVE-2026-5786 允許已認證的遠端攻擊者獲取管理權限,而 CVE-2026-5788 則允許未認證的攻擊者呼叫任意方法。這類漏洞直接打破了系統的權限隔離機制。
其次是憑證驗證問題(Improper Certificate Validation)。CVE-2026-5787 允許未認證的攻擊者冒充 Sentry 主機(EPMM 的分發組件)並獲取有效的 CA 簽署憑證。而 CVE-2026-7821 則允許攻擊者將未註冊設備非法加入系統,導致資訊洩露並損害設備身分完整性。
這些漏洞顯示出該產品在身分驗證與權限校驗上的系統性缺陷。
受影響範圍與建議對策
本次漏洞僅影響地端部署(On-premise)的 EPMM 產品。雲端版本的 Ivanti Neurons for MDM 以及其他相關產品如 Ivanti EPM、Ivanti Sentry 均不受影響。
面對此類威脅,工程團隊應採取以下行動。第一,立即將 EPMM 版本更新至 12.6.1.1、12.7.0.1 或 12.8.0.1 以上。第二,執行全面的憑證輪替,確保即使之前的帳號被盜用,攻擊者也無法利用舊憑證進入系統。第三,監控系統日誌,尋找異常的管理員登入記錄或非預期的指令執行行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。