Lỗ hổng CVE trong Ivanti Endpoint Manager Mobile (EPMM) đang được theo dõi sát do có dấu hiệu khai thác thực tế, trong đó CVE-2026-6973 được xác nhận đã bị khai thác tại thời điểm công bố. Ivanti khuyến nghị toàn bộ hệ thống EPMM on-premises phải cập nhật bản vá ngay lập tức để giảm nguy cơ bảo mật đối với hạ tầng quản lý thiết bị di động doanh nghiệp.
Cảnh báo CVE trên Ivanti EPMM On-Premises
Thông báo an ninh của Ivanti nêu rõ các lỗ hổng CVE được công bố chỉ ảnh hưởng đến EPMM triển khai tại chỗ. Các sản phẩm khác không bị tác động, gồm Ivanti Neurons for MDM, Ivanti EPM, Ivanti Sentry và các sản phẩm Ivanti khác.
Tại thời điểm công bố, Ivanti xác nhận CVE-2026-6973 đang bị khai thác thực tế và yêu cầu quyền admin authentication để khai thác thành công. Điều này làm cho lỗ hổng CVE này trở thành điểm rủi ro đáng chú ý trong môi trường an toàn thông tin của doanh nghiệp sử dụng EPMM.
Phạm vi ảnh hưởng
- Ảnh hưởng: Chỉ áp dụng cho on-premises EPMM.
- Không ảnh hưởng: Ivanti Neurons for MDM, Ivanti EPM, Ivanti Sentry và các sản phẩm Ivanti khác.
- Điều kiện khai thác: Cần xác thực quản trị viên.
- Trạng thái: Có ghi nhận khai thác zero-day tại thời điểm công bố.
CVSS, mức độ nghiêm trọng và khai thác thực tế
Ivanti mô tả hoạt động khai thác là “rất hạn chế” tại thời điểm công bố, nhưng đồng thời cảnh báo rằng các mô hình AI tiên tiến đã làm rút ngắn đáng kể thời gian từ lúc công bố đến khi xuất hiện khai thác. Đây là một dấu hiệu rõ ràng cho cảnh báo CVE khi kẻ tấn công có thể chuyển từ nghiên cứu sang tấn công mạng chỉ trong vài giờ.
Dù không có thông tin CVSS trong dữ liệu nguồn, mức độ nghiêm trọng của lỗ hổng CVE này được thể hiện qua việc Ivanti yêu cầu áp dụng bản vá ngay, đồng thời nhấn mạnh rằng các gói vá chỉ mất vài giây để cài đặt và không gây gián đoạn dịch vụ.
Tham khảo thông tin công khai từ CISA về danh mục lỗ hổng bị khai thác: CISA Known Exploited Vulnerabilities Catalog.
Chuỗi khai thác zero-day và tiền lệ tấn công
EPMM là nền tảng từng nhiều lần trở thành mục tiêu của các chiến dịch khai thác zero-day. Ivanti cho biết CISA đã gắn ít nhất 31 lỗi Ivanti vào danh mục KEV kể từ cuối năm 2021, và ít nhất 19 lỗi trên các sản phẩm Ivanti đã bị khai thác trong hai năm gần đây.
Các chiến dịch trước đây liên quan đến EPMM bao gồm CVE-2025-4427, CVE-2025-4428 vào tháng 5/2025, cùng CVE-2023-35078 và CVE-2023-35082 trong năm 2023. Những sự cố này cho thấy rủi ro bảo mật của EPMM nằm ở vị trí cao trong hệ thống quản lý thiết bị di động doanh nghiệp.
IOC
- CVE-2026-6973: Lỗ hổng đang bị khai thác thực tế.
- CVE-2025-4427: Lỗ hổng từng bị khai thác trong chiến dịch trước.
- CVE-2025-4428: Lỗ hổng từng bị khai thác trong chiến dịch trước.
- CVE-2023-35078: Lỗ hổng lịch sử liên quan EPMM.
- CVE-2023-35082: Lỗ hổng lịch sử liên quan EPMM.
AI trong quy trình phát hiện và vá lỗi
Ivanti cho biết đã tích hợp nhiều hệ thống LLM AI vào quy trình bảo mật sản phẩm và red team nội bộ. Các hệ thống này giúp phát hiện và xử lý những vấn đề mà công cụ SAST và DAST truyền thống có thể bỏ sót. Một phần các lỗ hổng CVE đang được công bố lần này được phát hiện trực tiếp bằng quy trình hỗ trợ AI.
Ivanti cũng khẳng định áp dụng chính sách human in the loop để xác minh mọi phát hiện tự động hoặc agentic, nhằm duy trì kiểm soát con người trong quy trình bảo mật thông tin. Đây là thay đổi đáng chú ý trong cách doanh nghiệp phát hiện và xử lý lỗ hổng CVE.
Hướng dẫn xử lý cho quản trị viên EPMM
Ivanti đã công bố hướng dẫn khắc phục chi tiết trong Security Advisory chính thức. Với môi trường on-premises EPMM, quản trị viên cần kiểm tra phiên bản đang chạy, đối chiếu bản vá tương ứng và triển khai ngay theo quy trình thay đổi nội bộ.
Dưới đây là các bước xử lý theo khuyến nghị từ thông báo an ninh:
- Xác định hệ thống có phải là EPMM on-premises hay không.
- Đối chiếu phiên bản đang dùng với advisory chính thức.
- Áp dụng bản vá tương ứng ngay khi có thể.
- Kiểm tra nhật ký và dấu hiệu khai thác sau khi vá.
- Giám sát các phiên quản trị và hoạt động bất thường liên quan đến EPMM.
Security advisory chính thức
Chi tiết kỹ thuật và gói vá được Ivanti công bố trong advisory chính thức tại: May 2026 Security Advisory – Ivanti Endpoint Manager Mobile (EPMM) Multiple CVEs.
Yêu cầu ưu tiên cho cập nhật bản vá
Ivanti nhấn mạnh các bản vá cho lỗ hổng CVE này chỉ mất vài giây để áp dụng và không gây downtime. Với đặc thù hệ thống bị tấn công có thể là hạ tầng quản lý thiết bị đầu cuối, việc trì hoãn cập nhật bản vá làm tăng nguy cơ bảo mật cho toàn bộ môi trường.
Các tổ chức đang vận hành an toàn mạng dựa trên EPMM cần coi đây là một cảnh báo CVE ưu tiên cao. Trong bối cảnh thời gian từ công bố đến khai thác ngày càng ngắn, việc cập nhật bản vá nhanh chóng là biện pháp giảm thiểu rủi ro trực tiếp nhất cho lỗ hổng CVE đang bị khai thác.
Thay đổi trong tần suất công bố lỗ hổng
Ivanti cảnh báo rằng khi các công cụ AI được tích hợp sâu hơn vào quy trình bảo mật, số lượng công bố lỗ hổng CVE có thể tăng lên. Đây được mô tả là một bước đi nhằm tăng tính minh bạch và cải thiện khả năng chống chịu của sản phẩm, thay vì phản ánh sự suy giảm trong trạng thái bảo mật.
Đối với đội vận hành và ứng cứu sự cố, thông điệp quan trọng là duy trì quy trình phát hiện xâm nhập, kiểm tra nhật ký, và triển khai update vá lỗi ngay khi advisory được phát hành. Với các nền tảng từng nhiều lần bị khai thác như EPMM, mỗi lỗ hổng CVE mới đều cần được xử lý theo mức ưu tiên cao nhất.
Liên hệ giữa khai thác thực tế và quản trị rủi ro
Sự xuất hiện của CVE-2026-6973 tiếp tục cho thấy lỗ hổng CVE trong các hệ thống quản lý thiết bị doanh nghiệp có thể nhanh chóng trở thành điểm xâm nhập trọng yếu. Với điều kiện khai thác yêu cầu quyền quản trị, việc bảo vệ tài khoản admin, giám sát xác thực và áp dụng bản vá bảo mật phải được đặt song song với kiểm tra hạ tầng.
Khi một cảnh báo CVE đã ghi nhận hoạt động khai thác thực tế, chiến lược phù hợp không chỉ là vá lỗi mà còn là xác minh trạng thái hệ thống, rà soát log và đánh giá khả năng hệ thống bị xâm nhập. Đây là cách tiếp cận tối thiểu để kiểm soát rủi ro bảo mật trong môi trường EPMM on-premises.
