{"id":174147,"date":"2026-02-17T06:43:10","date_gmt":"2026-02-17T14:43:10","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=174147"},"modified":"2026-02-24T08:10:21","modified_gmt":"2026-02-24T16:10:21","slug":"ivanti-cve-2026-1281-cve-2026-1340","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/","title":{"rendered":"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade"},"content":{"rendered":"<h2><a id=\"post-174147-_l01x11kbriy7\"><\/a>Resumo Executivo<\/h2>\n<p>Duas vulnerabilidades cr\u00edticas de dia zero (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-1281\" target=\"_blank\" rel=\"noopener\">CVE-2026-1281<\/a> e <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-1340\" target=\"_blank\" rel=\"noopener\">CVE-2026-1340<\/a>) que afetam o Ivanti Endpoint Manager Mobile (EPMM) est\u00e3o sendo exploradas ativamente, impactando frotas m\u00f3veis empresariais e redes corporativas. Essas vulnerabilidades permitem que atacantes n\u00e3o autenticados executem c\u00f3digos arbitr\u00e1rios remotamente em servidores alvo, concedendo controle total sobre a infraestrutura de gerenciamento de dispositivos m\u00f3veis (MDM) sem exigir intera\u00e7\u00e3o do usu\u00e1rio ou credenciais.<\/p>\n<p>A Unit 42 observou a explora\u00e7\u00e3o generalizada dessas vulnerabilidades, incluindo:<\/p>\n<ul>\n<li>Estabelecimento de shell reversa<\/li>\n<li>Instala\u00e7\u00e3o de web shells<\/li>\n<li>Condu\u00e7\u00e3o de reconhecimento (reconnaissance)<\/li>\n<li>Download de malware<\/li>\n<\/ul>\n<p>Esta campanha tamb\u00e9m afetou os seguintes setores nos Estados Unidos, Alemanha, Austr\u00e1lia e Canad\u00e1:<\/p>\n<ul>\n<li>Governo estadual e local<\/li>\n<li>Sa\u00fade (Healthcare)<\/li>\n<li>Manufatura<\/li>\n<li>Servi\u00e7os profissionais e jur\u00eddicos<\/li>\n<li>Alta tecnologia<\/li>\n<\/ul>\n<p>Devido \u00e0 gravidade da amea\u00e7a, a Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e de Infraestrutura dos EUA (CISA) adicionou a <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2026\/01\/29\/cisa-adds-one-known-exploited-vulnerability-catalog\" target=\"_blank\" rel=\"noopener\">CVE-2026-1281<\/a> ao seu Cat\u00e1logo de Vulnerabilidades Exploradas Conhecidas (KEV).<\/p>\n<p>Os atores de amea\u00e7a est\u00e3o acelerando as opera\u00e7\u00f5es, passando do reconhecimento inicial para a implanta\u00e7\u00e3o de backdoors dormentes projetados para manter o acesso a longo prazo, mesmo ap\u00f3s as organiza\u00e7\u00f5es aplicarem as corre\u00e7\u00f5es (patches).<\/p>\n<p>O Palo Alto Networks <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> identificou a presen\u00e7a de mais de 4.400 inst\u00e2ncias de EPMM em nossa telemetria.<\/p>\n<p>Os clientes da Palo Alto Networks est\u00e3o melhor protegidos contra a CVE-2026-1281 e a CVE-2026-1340 atrav\u00e9s dos seguintes produtos:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a>\u00a0e <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall <\/a>com a assinatura de seguran\u00e7a <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>A Palo Alto Networks tamb\u00e9m recomenda consultar o comunicado de <a href=\"https:\/\/hub.ivanti.com\/s\/article\/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US\" target=\"_blank\" rel=\"noopener\">seguran\u00e7a da Ivanti<\/a> publicado em janeiro de 2026. A <a href=\"https:\/\/hub.ivanti.com\/s\/article\/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US\" target=\"_blank\" rel=\"noopener\">Ivanti recomenda em seu comunicado<\/a> a aplica\u00e7\u00e3o do RPM 12.x.0.x ou do RPM 12.x.1.x, dependendo da vers\u00e3o utilizada. Os RPMs s\u00e3o espec\u00edficos por vers\u00e3o, n\u00e3o por vulnerabilidade. N\u00e3o \u00e9 necess\u00e1rio tempo de inatividade (downtime) para aplicar o patch, e a Ivanti n\u00e3o tem conhecimento de qualquer impacto na funcionalidade dos recursos com esta atualiza\u00e7\u00e3o. Mais detalhes podem ser encontrados na se\u00e7\u00e3o de Orienta\u00e7\u00f5es Provis\u00f3rias.<\/p>\n<p>A equipe de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">Resposta a Incidentes da Unit 42<\/a> tamb\u00e9m pode ser acionada para ajudar em caso de comprometimento ou para fornecer uma avalia\u00e7\u00e3o proativa visando reduzir seus riscos.<\/p>\n<table style=\"width: 97.3231%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Vulnerabilidades Discutidas<\/b><\/td>\n<td style=\"width: 210.85%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/tag\/cve-2026-1281\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2026-1281<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/tag\/cve-2026-1340\/\" target=\"_blank\" rel=\"noopener\">CVE-2026-1340<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-174147-_vfokvtgtqaqu\"><\/a>Detalhes da CVE-2026-1281<\/h2>\n<p>A CVE-2026-1281 (CVSS 9.8) \u00e9 uma vulnerabilidade cr\u00edtica de execu\u00e7\u00e3o remota de c\u00f3digo (RCE) no Ivanti EPMM. A falha reside em scripts bash legados usados pelo servidor web Apache para lidar com a reescrita de URLs (URL rewriting).<\/p>\n<p>O componente vulner\u00e1vel no Ivanti EPMM utiliza configura\u00e7\u00f5es de RewriteMap do Apache que apontam para scripts bash localizados em <span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/bin\/map-appstore-url<\/span>. Esses scripts s\u00e3o projetados para processar URLs para o recurso de Distribui\u00e7\u00e3o de Aplicativos Internos (In-House Application Distribution).<\/p>\n<p>A falha \u00e9 um tipo espec\u00edfico de inje\u00e7\u00e3o de c\u00f3digo que utiliza a <a href=\"https:\/\/www.gnu.org\/software\/bash\/manual\/html_node\/Arithmetic-Expansion.html\" target=\"_blank\" rel=\"noopener\">expans\u00e3o aritm\u00e9tica<\/a> do bash. O processo de explora\u00e7\u00e3o funciona enganando o script bash para avaliar uma vari\u00e1vel que cont\u00e9m um comando malicioso. Este processo consiste nas seguintes fases:<\/p>\n<ul>\n<li><strong>Manipula\u00e7\u00e3o de entrada:<\/strong> O atacante envia uma requisi\u00e7\u00e3o HTTP GET para um endpoint como <span style=\"font-family: 'courier new', courier, monospace;\">\/mifs\/c\/appstore\/fob\/....<\/span><\/li>\n<li><strong>Apontamento de vari\u00e1vel:<\/strong> O atacante define o par\u00e2metro st como a string <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span> (com preenchimento de espa\u00e7os para atender aos requisitos de comprimento). O script atribui essa entrada a uma vari\u00e1vel chamada <span style=\"font-family: 'courier new', courier, monospace;\">gStartTime<\/span>.<\/li>\n<li><strong>Inje\u00e7\u00e3o de payload:<\/strong> O atacante define o par\u00e2metro h para incluir o comando malicioso envolto em um \u00edndice de array, como <span style=\"font-family: 'courier new', courier, monospace;\">gPath['sleep 5']<\/span>. O script atribui isso \u00e0 vari\u00e1vel <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>.<\/li>\n<li><strong>Execu\u00e7\u00e3o:<\/strong> O script tenta comparar <span style=\"font-family: 'courier new', courier, monospace;\">gStartTime<\/span> (que agora \u00e9 a string <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>) com a hora atual usando uma avalia\u00e7\u00e3o aritm\u00e9tica (<span style=\"font-family: 'courier new', courier, monospace;\">if [[ ${theCurrentTimeSeconds} -gt ${gStartTime} ]]<\/span>).<\/li>\n<li><strong>Expans\u00e3o:<\/strong> Como <span style=\"font-family: 'courier new', courier, monospace;\">gStartTime<\/span> aponta para theValue, o bash resolve <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>. Dentro de <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>, o atacante incorporou uma substitui\u00e7\u00e3o de comando (o \u00edndice do array). O bash executa o comando (ex: <span style=\"font-family: 'courier new', courier, monospace;\">sleep 5<\/span> ou uma shell reversa) enquanto resolve o \u00edndice do array.<\/li>\n<\/ul>\n<h2><a id=\"post-174147-_8u1rh8rmx9t4\"><\/a>Detalhes da CVE-2026-1340<\/h2>\n<p>A CVE-2026-1340 (CVSS 9.8) impacta o mecanismo de Transfer\u00eancia de Arquivos Android (Android File Transfer) da Ivanti. Embora a causa raiz (uso inseguro de script bash) seja a mesma da CVE-2026-1281, elas residem em dois scripts distintos (<span style=\"font-family: 'courier new', courier, monospace;\">map-appstore-url vs. map-aft-store-url<\/span>) que lidam com recursos diferentes. Esta vulnerabilidade \u00e9 acionada via requisi\u00e7\u00f5es HTTP GET para endpoints que come\u00e7am com <span style=\"font-family: 'courier new', courier, monospace;\">\/mifs\/c\/aftstore\/fob\/<\/span>.<\/p>\n<h2><a id=\"post-174147-_ab8fil83u4ll\"><\/a>Escopo Atual da Explora\u00e7\u00e3o<\/h2>\n<p>A Unit 42 observou tentativas de explora\u00e7\u00e3o generalizadas e majoritariamente automatizadas das CVE-2026-1281 e CVE-2026-1340.<\/p>\n<p>Identificamos o comando abaixo para visar servidores Ivanti EPMM vulner\u00e1veis atrav\u00e9s do padr\u00e3o de URL mostrado na Figura 1.<\/p>\n<figure id=\"attachment_174148\" aria-describedby=\"caption-attachment-174148\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174148 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-222461-174147-1.png\" alt=\"Captura de tela de uma string de c\u00f3digo seguindo um formato espec\u00edfico de comando direcionado a servidores vulner\u00e1veis.\" width=\"700\" height=\"63\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-222461-174147-1.png 1334w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-222461-174147-1-786x71.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-222461-174147-1-768x69.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-174148\" class=\"wp-caption-text\">Figura 1. Formato do comando visando servidores Ivanti EPMM vulner\u00e1veis.<\/figcaption><\/figure>\n<h3><a id=\"post-174147-_8pilpf4meo6\"><\/a>Download<strong> de<\/strong> Malware<\/h3>\n<p>Em alguns casos, os atacantes tentaram burlar a autentica\u00e7\u00e3o na plataforma MobileIron da Ivanti e baixar e executar imediatamente um payload de segundo est\u00e1gio (o script <span style=\"font-family: 'courier new', courier, monospace;\">\/slt<\/span>). Este segundo est\u00e1gio normalmente instala uma web shell, um minerador de criptomoedas ou um backdoor persistente para garantir o controle do equipamento ao atacante.<\/p>\n<p>A Figura 2 abaixo mostra um exemplo da URL e dos comandos subsequentes vistos durante uma tentativa.<\/p>\n<figure id=\"attachment_174057\" aria-describedby=\"caption-attachment-174057\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174057 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1.png\" alt=\"Uma captura de tela exibindo uma s\u00e9rie de comandos de shell relacionados \u00e0 instala\u00e7\u00e3o e configura\u00e7\u00e3o de um software. Os comandos envolvem o download de arquivos de URLs espec\u00edficas, ajuste de permiss\u00f5es com &quot;chmod&quot; e execu\u00e7\u00e3o de scripts com &quot;curl&quot; e &quot;wget&quot;. Algumas URLs fazem refer\u00eancia a sites &quot;.onion&quot; e a um &quot;ngrok-free.app&quot;.\" width=\"1000\" height=\"377\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1.png 1858w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1-786x296.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1-768x289.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1-1536x579.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-174057\" class=\"wp-caption-text\">Figura 2. URL e comandos de uma tentativa de explora\u00e7\u00e3o.<\/figcaption><\/figure>\n<h3><a id=\"post-174147-_m9u3q4sp7mpp\"><\/a>Atividade de Botnet<\/h3>\n<p>Observamos atacantes baixando um agente de monitoramento Nezha, um utilit\u00e1rio de monitoramento de servidor de c\u00f3digo aberto. Eles baixaram esta ferramenta com par\u00e2metros espec\u00edficos para buscar do Gitee se a localiza\u00e7\u00e3o da v\u00edtima fosse a China, garantindo a maior base de v\u00edtimas poss\u00edvel independentemente da localiza\u00e7\u00e3o. A Figura 3 abaixo mostra o comando para baixar o agente Nezha.<\/p>\n<figure id=\"attachment_174170\" aria-describedby=\"caption-attachment-174170\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174170 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-227909-174147-3.png\" alt=\"A imagem exibe um script de comando de terminal. Ele come\u00e7a com um comando curl para baixar um arquivo do GitHub e prossegue com m\u00faltiplas express\u00f5es.\" width=\"1000\" height=\"109\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-227909-174147-3.png 1754w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-227909-174147-3-786x86.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-227909-174147-3-768x84.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-227909-174147-3-1536x168.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-174170\" class=\"wp-caption-text\">Figura 3. Tentativa de baixar um agente de monitoramento Nezha.<\/figcaption><\/figure>\n<h3><a id=\"post-174147-_5dxij0465hr9\"><\/a>Tentativas de Shell Reversa (Reverse Shell)<\/h3>\n<p>Em muitos casos, observamos tentativas de executar shells reversas injetando comandos que estabelecem conex\u00f5es de sa\u00edda para um posto de escuta (listening post). A Figura 4 abaixo mostra exemplos dessas tentativas.<\/p>\n<figure id=\"attachment_174181\" aria-describedby=\"caption-attachment-174181\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174181 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-230098-174147-4.png\" alt=\"A imagem mostra tr\u00eas linhas de c\u00f3digo envolvendo comunica\u00e7\u00e3o de rede. A primeira linha usa &quot;ncat&quot; para conectar-se a um endere\u00e7o IP na porta 8443. A segunda linha usa &quot;sh&quot; com um endere\u00e7o IP na porta 443. A terceira linha usa &quot;bash&quot; com um endere\u00e7o IP na porta 443.\" width=\"600\" height=\"169\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-230098-174147-4.png 1112w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-230098-174147-4-786x222.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-230098-174147-4-768x217.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-174181\" class=\"wp-caption-text\">Figura 4. Tentativas de executar shells reversas.<\/figcaption><\/figure>\n<h3><a id=\"post-174147-_47172igbalia\"><\/a>Reconhecimento (Reconnaissance)<\/h3>\n<p>Tamb\u00e9m observamos atacantes emitindo comandos sleep em tentativas de determinar se o servidor alvo era vulner\u00e1vel \u00e0 explora\u00e7\u00e3o. Este \u00e9 um m\u00e9todo simples de testar se o servidor far\u00e1 uma pausa de cinco segundos. Se a conex\u00e3o travar por exatamente cinco segundos antes de retornar um erro (ex: erro 404), o atacante sabe que obteve RCE e prosseguir\u00e1 imediatamente com payloads maliciosos. A Figura 5 mostra exemplos de comandos para as tentativas de reconhecimento.<\/p>\n<figure id=\"attachment_174192\" aria-describedby=\"caption-attachment-174192\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174192 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-232306-174147-5.png\" alt=\"Um trecho de c\u00f3digo de computador exibindo comandos de terminal que envolvem caminhos de arquivos e opera\u00e7\u00f5es. As fun\u00e7\u00f5es incluem o comando echo de uma string, navega\u00e7\u00e3o em diret\u00f3rios, ordena\u00e7\u00e3o (sort) e piping de resultados. O texto sugere intera\u00e7\u00f5es com aplica\u00e7\u00f5es web e gerenciamento de arquivos.\" width=\"800\" height=\"188\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-232306-174147-5.png 1622w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-232306-174147-5-786x185.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-232306-174147-5-768x181.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-232306-174147-5-1536x362.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-174192\" class=\"wp-caption-text\">Figura 5. Tentativas de reconhecimento.<\/figcaption><\/figure>\n<h3><a id=\"post-174147-_f6dr295437sb\"><\/a>Atividade de Web Shell<\/h3>\n<p>Observamos atores de amea\u00e7a tentando instalar uma web shell JSP leve com nomes como <span style=\"font-family: 'courier new', courier, monospace;\">401.jsp, 403.jsp <span style=\"font-family: georgia, palatino, serif;\">e<\/span> 1.jsp<\/span> no caminho de arquivo \/<span style=\"font-family: 'courier new', courier, monospace;\">mi\/tomcat\/webapps\/mifs\/<\/span> em v\u00e1rios alvos pretendidos. Nesses casos, se o servidor web estiver rodando como <span style=\"font-family: 'courier new', courier, monospace;\">root<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">Administrador<\/span>, o atacante obteria controle administrativo do servidor. A Figura 6 abaixo mostra um exemplo dessas web shells JSP.<\/p>\n<figure id=\"attachment_174203\" aria-describedby=\"caption-attachment-174203\" style=\"width: 720px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174203 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-234594-174147-6.png\" alt=\"Trecho de c\u00f3digo apresentando um script Java server-side dentro de um HTML. O formul\u00e1rio HTML inclui um m\u00e9todo GET com uma a\u00e7\u00e3o para &quot;Run&quot;. O c\u00f3digo Java recupera dados de runtime, executa um comando e exibe o resultado do comando.\" width=\"720\" height=\"900\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-234594-174147-6.png 1272w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-234594-174147-6-352x440.png 352w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-234594-174147-6-560x700.png 560w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-234594-174147-6-768x960.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-234594-174147-6-1229x1536.png 1229w\" sizes=\"(max-width: 720px) 100vw, 720px\" \/><figcaption id=\"caption-attachment-174203\" class=\"wp-caption-text\">Figura 6. Exemplo de uma web shell JSP decodificada.<\/figcaption><\/figure>\n<h2><a id=\"post-174147-_4ibtb3e0chwx\"><\/a>Orienta\u00e7\u00f5es Provis\u00f3rias para CVE-2026-1281 e CVE-2026-1340<\/h2>\n<p>Um comunicado de <a href=\"https:\/\/hub.ivanti.com\/s\/article\/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US\" target=\"_blank\" rel=\"noopener\">seguran\u00e7a da Ivanti<\/a> de janeiro de 2026 recomenda que seus clientes apliquem o RPM 12.x.0.x ou o RPM 12.x.1.x, dependendo da vers\u00e3o utilizada. Os clientes n\u00e3o precisam aplicar ambos os RPMs, pois eles s\u00e3o espec\u00edficos por vers\u00e3o, n\u00e3o por vulnerabilidade.<\/p>\n<p>N\u00e3o \u00e9 necess\u00e1rio tempo de inatividade para aplicar este patch, e a empresa n\u00e3o tem conhecimento de qualquer impacto na funcionalidade dos recursos com esta corre\u00e7\u00e3o.<\/p>\n<p>A recomenda\u00e7\u00e3o da Ivanti permanece a mesma: clientes que ainda n\u00e3o aplicaram o patch devem faz\u00ea-lo imediatamente e, em seguida, revisar seu equipamento em busca de quaisquer sinais de explora\u00e7\u00e3o que possam ter ocorrido antes da corre\u00e7\u00e3o. Aplicar o patch \u00e9 a maneira mais eficaz de prevenir a explora\u00e7\u00e3o, independentemente de como os IOCs mudem ao longo do tempo, especialmente agora que uma prova de conceito (POC) est\u00e1 dispon\u00edvel. O patch n\u00e3o requer downtime e leva apenas alguns segundos para ser aplicado.<\/p>\n<p>A Ivanti forneceu aos clientes indicadores de comprometimento de alta fidelidade, an\u00e1lise t\u00e9cnica no momento da divulga\u00e7\u00e3o e um script de Detec\u00e7\u00e3o de Explora\u00e7\u00e3o desenvolvido com o NCSC-NL, e continua apoiando os clientes enquanto eles respondem a esta amea\u00e7a.<\/p>\n<h2><a id=\"post-174147-_px9hltjult4\"><\/a>Consultas de Managed Threat Hunting da Unit 42<\/h2>\n<p>A equipe de Managed Threat Hunting da Unit 42 continua rastreando quaisquer tentativas de explorar essas CVEs em nossos clientes, usando o Cortex XDR e as consultas XQL abaixo. Clientes do Cortex XDR tamb\u00e9m podem usar essas consultas XQL para buscar sinais de explora\u00e7\u00e3o.<\/p>\n<p>Se os logs do Ivanti EPMM estiverem sendo ingeridos no Cortex XDR ou XSIAM, a seguinte consulta pode ser usada para identificar sinais de explora\u00e7\u00e3o. Para isso, o nome do conjunto de dados (dataset) precisar\u00e1 ser especificado no est\u00e1gio de dataset.<\/p>\n<pre class=\"lang:default decode:true\">\/\/Description: This query identifies HTTP(S) requests logged within Ivanti EPMM (Formerly MobileIron) logs that match exploitation URI parameters. The EPMM Version number is also extracted (as EPMM_Version) to provide additional context for security teams to identify if their software version is vulnerable.\r\n\r\nconfig case_sensitive = false\r\n\r\n\/\/Note: Replace &lt;ENTER_DATASET_NAME_FOR_IVANTI_EPMM&gt; with the actual name of your Ivanti EPMM syslog dataset.\r\n\r\n\r\n| dataset = &lt;ENTER_DATASET_NAME_FOR_IVANTI_EPMM&gt;\r\n\r\n| fields _time, _raw_log, _reporting_device_ip, _broker_hostname\r\n\r\n| alter log_type = arrayindex(regextract(_raw_log, \"^[^\\+]+\\+\\d{2}:\\d{2}\\s[^\\s]+\\s([^\\s]+)\\s\"),0)\r\n\r\n| filter log_type in (\"https_request\", \"https_access\", \"http_request\", \"https_access\")\r\n\r\n| alter EPMM_Version = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=([^,]+)\"),0),\r\n\r\nHTTP_Request_src_ip = if(log_type in (\"https_request\", \"http_request\"), arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^,]+),[^\\s]+\\s([^\\s]+)\"), 0), arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^,]+),([^:]+)\"), 0)),\r\n\r\nHTTP_Method = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(GET|POST|PUT)\"), 0),\r\n\r\nHTTP_Request_URI = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(?:GET|POST|PUT)\\s+([^\\\"]+)\"), 0),\r\n\r\nHTTP_response_Code = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(?:GET|POST|PUT)\\s+(?:[^\\\"]+)\\\"\\s+([1-5]\\d\\d)\"), 0),\r\n\r\nAttempted_command_execution = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(?:GET|POST|PUT)\\s+(?:[^=]*=)+gPath([^\\s]+)\"), 0)\r\n\r\n| filter HTTP_Request_URI ~= \"\\\/mifs\\\/c\\\/(?:app|aft)store\\\/fob\" AND HTTP_Request_URI ~= \"\\=gPath\"\r\n\r\n| fields _time, log_type, EPMM_Version, HTTP_Request_src_ip, HTTP_Method, HTTP_Request_URI, HTTP_response_Code, Attempted_command_execution\r\n\r\n| sort asc _time<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query identifies HTTP(S) requests logged by NGFW that match Ivanti EPMM exploitation URI parameters.\r\n\r\n\u200b\u200bconfig case_sensitive = false\r\n\r\n| dataset = panw_ngfw_url_raw\r\n\r\n| filter uri ~= \"\\\/mifs\\\/c\\\/(?:app|aft)store\\\/fob\" and uri ~= \"\\=gPath\"\r\n\r\n| fields _time, app, app_category, action, source_ip, dest_ip, dest_port, url_domain, uri, file_url, http_method, http_headers, action, session_id, from_zone, to_zone\r\n\r\n| sort asc _time<\/pre>\n<h2><a id=\"post-174147-_8gik09fr7itt\"><\/a>Conclus\u00e3o<\/h2>\n<p>A r\u00e1pida \"armamentiza\u00e7\u00e3o\" (weaponization) dessas vulnerabilidades demonstra que a janela entre a divulga\u00e7\u00e3o e a explora\u00e7\u00e3o em massa efetivamente colapsou, com atacantes oportunistas integrando novas CVEs em frameworks de varredura automatizada em poucas horas. Embora esses tipos de ataques care\u00e7am de precis\u00e3o, o comprometimento bem-sucedido de dispositivos de borda n\u00e3o corrigidos em escala os torna ativos de alto risco que n\u00e3o s\u00e3o protegidos apenas por ciclos de patch. Organiza\u00e7\u00f5es com interfaces de gerenciamento voltadas para a internet devem adotar uma mentalidade de \"viola\u00e7\u00e3o presumida\" (assumed breach) e tratar a detec\u00e7\u00e3o de quaisquer indicadores como um poss\u00edvel comprometimento com potencial persist\u00eancia profunda e movimenta\u00e7\u00e3o lateral.<\/p>\n<p>A Palo Alto Networks compartilhou nossas descobertas com nossos colegas membros da Cyber Threat Alliance (CTA). Os membros da CTA usam essa intelig\u00eancia para implantar rapidamente prote\u00e7\u00f5es para seus clientes e interromper sistematicamente atores cibern\u00e9ticos maliciosos. Saiba mais sobre a <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<p>Os clientes da Palo Alto Networks est\u00e3o melhor protegidos por nossos produtos, conforme listado abaixo. Atualizaremos este resumo de amea\u00e7as \u00e0 medida que informa\u00e7\u00f5es mais relevantes estiverem dispon\u00edveis.<\/p>\n<h2><a id=\"post-174147-_3f83ajw2hjsp\"><\/a>Prote\u00e7\u00f5es de Produtos Palo Alto Networks para CVE-2026-1281 e CVE-2026-1340<\/h2>\n<p>Os clientes da Palo Alto Networks podem aproveitar uma variedade de prote\u00e7\u00f5es e atualiza\u00e7\u00f5es de produtos para identificar e se defender contra esta amea\u00e7a.<\/p>\n<h3><a id=\"post-174147-_io5xujn73nn1\"><\/a>Next-Generation Firewalls com Advanced Threat Prevention<\/h3>\n<p>O <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\">Next-Generation Firewall<\/a> com a assinatura de seguran\u00e7a <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> pode ajudar a bloquear os ataques atrav\u00e9s da seguinte assinatura de Threat Prevention: 96919.<\/p>\n<h3><a id=\"post-174147-_vqivwuh4ime8\"><\/a>Servi\u00e7os de Seguran\u00e7a Entregues na Nuvem para o Next-Generation Firewall<\/h3>\n<p>O <a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> e o <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identificam dom\u00ednios e URLs conhecidos associados a esta atividade como maliciosos.<\/p>\n<h3><a id=\"post-174147-_1fji91k2uv70\"><\/a>Cortex Xpanse<\/h3>\n<p>O <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> tem a capacidade de identificar dispositivos Ivanti EPMM expostos na internet p\u00fablica e encaminhar essas descobertas aos defensores. Os clientes podem ativar o alerta sobre este risco garantindo que habilitaram a regra de superf\u00edcie de ataque (Attack Surface Rule) do Ivanti Endpoint Manager Mobile (MobileIron Core). As descobertas identificadas podem ser visualizadas na visualiza\u00e7\u00e3o de incidentes do Expander. Essas descobertas tamb\u00e9m est\u00e3o dispon\u00edveis para clientes Cortex XSIAM que adquiriram o m\u00f3dulo ASM.<\/p>\n<h3><a id=\"post-174147-_el273qmmazw1\"><\/a>Cortex Cloud<\/h3>\n<p>Embora n\u00e3o existam indica\u00e7\u00f5es conhecidas de explora\u00e7\u00e3o desta vulnerabilidade em infraestruturas de nuvem, os clientes do Cortex Cloud est\u00e3o melhor protegidos e podem detectar e remediar infraestruturas de nuvem vulner\u00e1veis usando o monitoramento de vulnerabilidades do <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/vulnerability-management\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a>. Al\u00e9m disso, o posicionamento adequado do <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">agente de endpoint XDR<\/a> e dos <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Use-cases\" target=\"_blank\" rel=\"noopener\">agentes serverless<\/a> do Cortex Cloud em um ambiente de nuvem ajuda a detectar e prevenir opera\u00e7\u00f5es maliciosas, altera\u00e7\u00f5es de configura\u00e7\u00e3o ou explora\u00e7\u00f5es em tempo de execu\u00e7\u00e3o, fornecendo defesas sustentadas do ambiente de nuvem.<\/p>\n<p>Se voc\u00ea acredita que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">Resposta a Incidentes da Unit 42<\/a> ou ligue para:<\/p>\n<ul>\n<li>Am\u00e9rica do Norte: Liga\u00e7\u00e3o gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa e Oriente M\u00e9dio: +31.20.299.3130<\/li>\n<li>\u00c1sia: +65.6983.8730<\/li>\n<li>Jap\u00e3o: +81.50.1790.0200<\/li>\n<li>Austr\u00e1lia: +61.2.4062.7950<\/li>\n<li>\u00cdndia: 000 800 050 45107<\/li>\n<li>Coreia do Sul: +82.080.467.8774<\/li>\n<\/ul>\n<h2><a id=\"post-174147-_st2uftil5iap\"><\/a>Indicadores de Comprometimento (IoCs)<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23[.]227[.]199[.]80 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">64[.]7[.]199[.]177 (Ports 10882, 18899)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">83[.]138[.]53[.]139<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">84[.]72[.]235[.]18 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">86[.]106[.]143[.]200 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">91[.]193[.]19[.]12 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">107[.]173[.]231[.]201 (Port 6666)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">130[.]94[.]41[.]206 (Ports 8082, 10808)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138[.]226[.]247[.]241<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">144[.]172[.]106[.]4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146[.]70[.]41[.]193 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">152[.]32[.]173[.]138<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">158[.]247[.]199[.]185 (Port 80)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">185[.]173[.]235[.]232<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">192[.]242[.]184[.]234<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">193[.]242[.]184[.]234 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">194[.]78[.]67[.]253 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">198[.]13[.]158[.]58 (Port 8443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">204[.]251[.]198[.]205 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].gobygo[.]net<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].introo[.]sh<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].ngrok-free[.]app<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].main[.]interacth3[.]io<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].ddns[.]1433[.]eu[.]org<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].oast[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].oast[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].oast[.]site<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].eyes[.]sh<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].requestrepo[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].ceye[.]io<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">interact[.].gateway[.]horizon3ai[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/152[.]32[.]173[.]138\/U26d86f1899513347.5b5b0c1b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/64[.]7[.]199[.]177:18899<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zeetcckhtudizieudqyck5o4ez16y973h[.]oast[.]fun\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/152[.]32[.]173[.]138\/U5213b63dda61af48.0F3Ab3D3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxps:\/\/e598292a5fbd[.]ngrok-free[.]app\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/401.jsp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/403.jsp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/1.jsp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">agent[.]sh<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/test.css<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/poc.css<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/cssaaa.css<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/login.css<\/span><\/li>\n<\/ul>\n<p><em>Atualizado em 23 de fevereiro de 2026 \u00e0s 9h45 (hor\u00e1rio do Pac\u00edfico) para atualizar a se\u00e7\u00e3o Indicadores de comprometimento.<\/em><\/p>\n<p><em>Atualizado em 23 de fevereiro de 2026 \u00e0s 11h56 (hor\u00e1rio do Pac\u00edfico) para atualizar a se\u00e7\u00e3o Indicadores de comprometimento e atualizar a Figura 2.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Discutimos a explora\u00e7\u00e3o generalizada das vulnerabilidades de dia zero CVE-2026-1281 e CVE-2026-1340 no Ivanti EPMM. Atacantes est\u00e3o implantando web shells e backdoors.<\/p>\n","protected":false},"author":366,"featured_media":173035,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8773,8854],"tags":[9952,9953,9954,9955,9956],"product_categories":[8892,8967,8978,8893,9040,9076,9160,9086,8888],"coauthors":[9896],"class_list":["post-174147","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-pt-br","category-vulnerabilities-pt-br","tag-cve-2026-1281","tag-cve-2026-1340","tag-ivanti","tag-remote-code-execution","tag-reverse-shells","product_categories-advanced-dns-security-pt-br","product_categories-advanced-threat-prevention-pt-br","product_categories-advanced-url-filtering-pt-br","product_categories-cloud-delivered-security-services-pt-br","product_categories-cortex-pt-br","product_categories-cortex-xpanse-pt-br","product_categories-managed-threat-hunting-pt-br","product_categories-next-generation-firewall-pt-br","product_categories-unit-42-incident-response-pt-br"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade<\/title>\n<meta name=\"description\" content=\"Discutimos a explora\u00e7\u00e3o generalizada das vulnerabilidades de dia zero CVE-2026-1281 e CVE-2026-1340 no Ivanti EPMM. Atacantes est\u00e3o implantando web shells e backdoors.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade\" \/>\n<meta property=\"og:description\" content=\"Discutimos a explora\u00e7\u00e3o generalizada das vulnerabilidades de dia zero CVE-2026-1281 e CVE-2026-1340 no Ivanti EPMM. Atacantes est\u00e3o implantando web shells e backdoors.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-17T14:43:10+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-24T16:10:21+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"2000\" \/>\n\t<meta property=\"og:image:height\" content=\"1121\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Justin Moore\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade","description":"Discutimos a explora\u00e7\u00e3o generalizada das vulnerabilidades de dia zero CVE-2026-1281 e CVE-2026-1340 no Ivanti EPMM. Atacantes est\u00e3o implantando web shells e backdoors.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/","og_locale":"pt_BR","og_type":"article","og_title":"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade","og_description":"Discutimos a explora\u00e7\u00e3o generalizada das vulnerabilidades de dia zero CVE-2026-1281 e CVE-2026-1340 no Ivanti EPMM. Atacantes est\u00e3o implantando web shells e backdoors.","og_url":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/","og_site_name":"Unit 42","article_published_time":"2026-02-17T14:43:10+00:00","article_modified_time":"2026-02-24T16:10:21+00:00","og_image":[{"width":2000,"height":1121,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","type":"image\/jpeg"}],"author":"Justin Moore","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade","datePublished":"2026-02-17T14:43:10+00:00","dateModified":"2026-02-24T16:10:21+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/"},"wordCount":2260,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","keywords":["CVE-2026-1281","CVE-2026-1340","Ivanti","Remote Code Execution","reverse shells"],"articleSection":["Amea\u00e7as de alto perfil","Vulnerabilidades"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/","url":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/","name":"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","datePublished":"2026-02-17T14:43:10+00:00","dateModified":"2026-02-24T16:10:21+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Discutimos a explora\u00e7\u00e3o generalizada das vulnerabilidades de dia zero CVE-2026-1281 e CVE-2026-1340 no Ivanti EPMM. Atacantes est\u00e3o implantando web shells e backdoors.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/"]}]},{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","width":2000,"height":1121,"caption":"Futuristic smart city at sunset, illuminated by AI-driven glowing digital networks. The vibrant grid of interconnected lights stretches across urban landscape, blending technology with natural beauty"},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/pt-br\/ivanti-cve-2026-1281-cve-2026-1340\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Vulnerabilidades Cr\u00edticas no Ivanti EPMM Exploradas em Atividade"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts\/174147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/comments?post=174147"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts\/174147\/revisions"}],"predecessor-version":[{"id":174219,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/posts\/174147\/revisions\/174219"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/media\/173035"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/media?parent=174147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/categories?post=174147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/tags?post=174147"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/product_categories?post=174147"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/pt-br\/wp-json\/wp\/v2\/coauthors?post=174147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}