Ivanti EPMM 爆兩大零時差漏洞遭積極利用，美國CISA 緊急列入 KEV 目錄

Ivanti 於 2026 年 1 月 29 日緊急發布安全公告，揭露旗下 Endpoint Manager Mobile（EPMM）存在兩項嚴重的程式碼注入漏洞，CVSS 評分高達 9.8 分。資安研究機構 watchTowr 證實，這兩項漏洞在公告發布前已遭駭客作為零時差漏洞積極利用。美國網路安全暨基礎設施安全局（CISA）已將 CVE-2026-1281 列入已知遭利用漏洞（KEV）目錄，要求聯邦機構於 2 月 1 日前完成修補。

漏洞概況與攻擊現況

此次揭露的 CVE-2026-1281 與 CVE-2026-1340 皆屬於 CWE-94 程式碼注入類型，攻擊者可在未經身分驗證的情況下遠端執行任意程式碼。漏洞根源在於 EPMM 處理「內部應用程式發布」（In-House Application Distribution）與「Android 檔案傳輸」（Android File Transfer）功能時，採用 Bash 腳本處理請求的方式存在缺陷。

Ivanti 官方確認已有少數客戶遭到入侵。截至 1 月 30 日，公開的概念驗證（PoC）攻擊程式已在網路上流傳。Shadowserver Foundation 觀察到來自至少 13 個來源 IP 的攻擊嘗試大幅增加，全球約有 1,600 個 EPMM 實例暴露於網際網路。資安業者 Expel 指出，攻擊者正積極利用漏洞安裝 Webshell 並建立持久性反向 Shell 連線。

影響範圍與潛在風險

此次漏洞僅影響地端部署版本的 EPMM 12.7.0.0 及更早版本，雲端服務不受影響。一旦攻擊成功，攻擊者可橫向移動至內部網路、竄改系統設定與 MDM 政策、提升權限至管理員層級，並存取敏感資訊，包括管理員與使用者個資、電話號碼、GPS 位置及裝置識別碼等。

CISA 將 CVE-2026-1281 列入 KEV 目錄後，根據約束性作業指令（BOD）22-01，要求美國聯邦機構須在三天內完成修補，相較一般漏洞的三週期限大幅縮短，足見威脅嚴重程度。

修補建議與事件回應

Ivanti 已釋出緊急 RPM 修補程式，正式版本 12.8.0.0 預計於 2026 年第一季發布。企業須注意，若後續升級系統，臨時修補程式將消失，必須重新安裝。

watchTowr 執行長 Benjamin Harris 警告：「僅套用修補程式並不足夠。」在漏洞公告時已將 EPMM 暴露於網際網路的企業，應將系統視為已遭入侵，啟動完整事件回應程序。Ivanti 建議從乾淨備份還原或重建系統，不建議手動清理。由於攻擊者會清除本機日誌，外部化的 SIEM 日誌是鑑識調查最可靠的來源。

Ivanti 再成攻擊焦點

這並非 Ivanti EPMM 首次成為零時差攻擊目標。2025 年 5 月，該平台即曾因 CVE-2025-4427 與 CVE-2025-4428 兩項漏洞遭駭客利用；更早在 2023 年，EPMM 亦曾因 CVE-2023-35078 遭到實際攻擊。此次事件再度凸顯企業級集中式管理平台持續面臨的高度威脅。

Harris 指出：「在 watchTowr 的客戶群中，高價值產業與目標受到該漏洞攻擊影響。」此現象反映出攻擊者持續鎖定能夠集中控制裝置與身分認證的系統，因為一旦突破這類平台，即可取得進入企業網路的關鍵入口。

企業應正視行動裝置管理平台的資安風險，除了即時套用修補程式外，更應定期檢視此類關鍵系統的曝險狀態，並建立完善的事件回應機制，以因應日益頻繁的零時差攻擊威脅。