Ivanti vá lỗ hổng zero-day trên EPMM bị khai thác trong các cuộc tấn công nhắm mục tiêu

Ivanti vào thứ Năm vừa qua đã công bố bản cập nhật bảo mật tháng 5 năm 2026 cho sản phẩm Endpoint Manager Mobile (EPMM), nhằm khắc phục tổng cộng 5 lỗ hổng bảo mật. Trong đó đáng chú ý nhất là một lỗ hổng zero-day đang bị kẻ tấn công khai thác trong các cuộc tấn công có chủ đích.

Ivanti Security Risks

Lỗ hổng bị khai thác, được theo dõi dưới mã định danh CVE-2026-6973, là một vấn đề xác thực đầu vào không đúng cách có mức độ nghiêm trọng cao. Kẻ tấn công đã xác thực và có quyền quản trị có thể tận dụng lỗi này để thực thi mã từ xa (remote code execution).

Ivanti cho biết họ đã nhận thấy một "số lượng rất hạn chế khách hàng" đang bị nhắm mục tiêu trong các cuộc tấn công khai thác CVE-2026-6973.

"Nếu khách hàng đã thực hiện khuyến nghị của Ivanti vào tháng 1 về việc thay đổi thông tin đăng nhập nếu bạn bị khai thác bởi CVE-2026-1281 và CVE-2026-1340, thì rủi ro bị khai thác từ CVE-2026-6973 sẽ được giảm thiểu đáng kể", nhà cung cấp lưu ý trong bản tư vấn của mình.

Dựa trên thông tin này, có thể thấy CVE-2026-6973 có thể đã được xâu chuỗi với CVE-2026-1281 hoặc CVE-2026-1340. Hai lỗ hổng này cho phép thực thi mã từ xa mà không cần xác thực, cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn hạ tầng quản lý thiết bị di động (MDM) mục tiêu.

Trước đó, CVE-2026-1281 và CVE-2026-1340 ban đầu cũng được sử dụng trong các cuộc tấn công zero-day có chủ đích, nhưng việc khai thác đã tăng vọt ngay sau khi chúng được công bố.

Ivanti chưa chia sẻ thêm thông tin nào khác về các cuộc tấn công liên quan đến CVE-2026-6973. Tuy nhiên, đáng chú ý là các nhóm mối đe dọa từ Trung Quốc thường được tin là đứng sau các cuộc tấn công zero-day nhắm vào các lỗi sản phẩm của Ivanti.

CISA yêu cầu vá lỗi khẩn cấp

Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2026-6973 vào danh mục KEV (Known Exploited Vulnerabilities - Các lỗ hổng đã bị khai thác) của mình vào thứ Năm, chỉ đạo các cơ quan liên bang giải quyết vấn đề này trước ngày 10/5. Danh sách KEV của CISA hiện bao gồm tổng cộng 34 lỗ hổng sản phẩm của Ivanti.

Trong bản tư vấn của mình, Ivanti chỉ ra rằng các lỗ hổng còn lại được vá trong các bản cập nhật EPMM mới nhất dường như chưa bị khai thác trong tự nhiên.

Các lỗ hổng bảo mật này được theo dõi dưới mã định danh CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 và CVE-2026-7821. Chúng có thể bị khai thác để thăng đặc quyền, lấy chứng chỉ khách hàng, gọi các phương thức tùy ý và lộ thông tin.