Một lỗ hổng nghiêm trọng, CVE-2026-6973, trong Ivanti Endpoint Manager Mobile (EPMM) có thể cho phép kẻ tấn công đã được xác thực thực thi mã từ xa bằng cách tiêm các chỉ thị cấu hình Apache độc hại. Lỗ hổng này được xếp hạng CVSS 7.2 và được phân loại là lỗ hổng kiểm soát cấu hình (CWE-15).
Chi tiết về Lỗ hổng CVE-2026-6973
Lỗ hổng này ảnh hưởng đến nhiều phiên bản của Ivanti EPMM, bao gồm các phiên bản 12.9.0, 12.8.0.2, 12.7.0.1 và các bản phát hành cũ hơn. Theo khuyến cáo bảo mật của Ivanti, lỗ hổng phát sinh do xử lý đầu vào cấu hình không đúng cách trong ứng dụng.
Cơ chế Khai thác
Kẻ tấn công đã được xác thực và có đủ đặc quyền có thể lợi dụng điểm yếu này để tiêm các chỉ thị Apache tùy ý vào cấu hình máy chủ. Việc thao túng này có thể thay đổi cách máy chủ web xử lý các yêu cầu, cuối cùng dẫn đến khả năng thực thi mã từ xa (RCE).
Cuộc tấn công này không yêu cầu tương tác người dùng và có thể được thực hiện qua mạng. Điều này làm cho nó đặc biệt nguy hiểm trong các môi trường doanh nghiệp, nơi EPMM được sử dụng rộng rãi để quản lý thiết bị di động và thực thi các chính sách bảo mật.
Sau khi khai thác thành công, kẻ tấn công có thể triển khai web shells, thực thi các tập lệnh độc hại hoặc tiến hành các bước tiếp theo để xâm nhập sâu hơn vào mạng nội bộ.
Ảnh hưởng Hệ thống
Vector CVSS cho CVE-2026-6973 chỉ ra rằng mặc dù yêu cầu đặc quyền cao, độ phức tạp của cuộc tấn công là thấp. Tuy nhiên, tác động đến tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của hệ thống là nghiêm trọng.
Việc khai thác thành công có thể dẫn đến việc chiếm quyền điều khiển hệ thống, truy cập trái phép vào dữ liệu nhạy cảm và gián đoạn hoạt động kinh doanh.
Các Phiên bản Bị Ảnh hưởng và Bản vá
Ivanti đã khắc phục lỗ hổng này trong các phiên bản đã vá lỗi sau đây: 12.9.0.1, 12.8.0.3, và 12.7.0.2. Các tổ chức đang sử dụng các phiên bản bị lỗi được khuyến cáo mạnh mẽ nâng cấp ngay lập tức.
Việc trì hoãn vá lỗi có thể khiến hệ thống bị khai thác, đặc biệt là khi kẻ tấn công đã có quyền truy cập đã xác thực thông qua các kỹ thuật như phishing, đánh cắp thông tin đăng nhập hoặc các phương thức truy cập ban đầu khác.
Phát hiện và Giảm thiểu Rủi ro
Tại thời điểm công bố, Ivanti tuyên bố không có bằng chứng về việc khai thác tích cực trong thực tế. Không có chỉ số xâm nhập (IOC) nào được công bố công khai, do đó, việc áp dụng bản vá lỗi kịp thời là chiến lược giảm thiểu chính.
Các nhóm an ninh mạng cũng nên xem xét lại các biện pháp kiểm soát truy cập và kiểm toán các tài khoản có đặc quyền, vì lỗ hổng yêu cầu xác thực. Giám sát các thay đổi cấu hình bất thường hoặc hành vi Apache không mong muốn có thể giúp phát hiện các nỗ lực khai thác tiềm ẩn.
Khuyến nghị Bảo mật
CVE-2026-6973 nhấn mạnh những rủi ro liên quan đến các lỗ hổng tiêm cấu hình trong các nền tảng quản lý doanh nghiệp. Khi kẻ tấn công ngày càng nhắm mục tiêu vào cơ sở hạ tầng quản lý để tối đa hóa tác động, việc đảm bảo cập nhật kịp thời và kiểm soát truy cập nghiêm ngặt vẫn là yếu tố cần thiết để giảm thiểu bề mặt tấn công.
Khách hàng của Ivanti được khuyên nên áp dụng các bản vá lỗi ngay lập tức và tuân theo các hướng dẫn chính thức để bảo mật các triển khai của họ trước các mối đe dọa tiềm ẩn. Theo dõi các bản tin tin tức bảo mật mới nhất có thể giúp cập nhật các lỗ hổng và phương pháp tấn công mới.
Để biết thêm chi tiết kỹ thuật về các lỗ hổng, tham khảo trang NVD (National Vulnerability Database).
