Ivanti EPMM Kembali Diserang Zero-Day Baru, Pelaku Memanfaatkan Kerentanan untuk Eksekusi Kode Jarak Jauh

Para penyerang kembali menargetkan pelanggan Ivanti melalui eksploitasi zero-day pada salah satu produk yang paling sering diserang perusahaan ini. Ivanti mengungkapkan bahwa serangan tersebut memanfaatkan kerentanan CVE-2026-6973, yaitu cacat validasi masukan yang tidak tepat pada Ivanti Endpoint Manager Mobile (EPMM).

Kerentanan ini memungkinkan pengguna terautentikasi dengan hak administratif untuk menjalankan kode secara jarak jauh. Ivanti mengumumkan ancaman tersebut dalam security advisory pada Kamis (15/5/2025), sekaligus mengungkapkan empat kerentanan tingkat tinggi lainnya pada produk yang sama.

“Pada saat pengungkapan, Ivanti mengetahui adanya eksploitasi terbatas di alam liar terhadap CVE-2026-6973, yang memerlukan akses administratif terautentikasi untuk dimanfaatkan,” ujar seorang juru bicara Ivanti dalam pernyataan resmi.

Perusahaan tidak menyebutkan kapan pertama kali eksploitasi terjadi atau berapa banyak pelanggan yang telah terdampak. Badan Keamanan Siber dan Infrastruktur AS (CISA) segera menambahkan zero-day ini ke dalam katalog kerentanan yang dieksploitasi secara aktif setelah Ivanti mengumumkan temuan tersebut.

Ivanti telah merilis patch untuk kelima kerentanan tersebut, termasuk empat kerentanan tambahan (CVE-2026-5787, CVE-2026-5788, CVE-2026-6973, dan CVE-2026-7821), yang diklaim belum dieksploitasi di alam liar.

“Ivanti menemukan kerentanan ini dalam beberapa minggu terakhir melalui proses deteksi internal yang didukung oleh AI canggih, kolaborasi pelanggan, dan pengungkapan yang bertanggung jawab,” jelas juru bicara perusahaan tersebut. Salah satu kerentanan ditemukan dan dilaporkan secara bertanggung jawab oleh mantan karyawan Ivanti.

Perusahaan juga menyebutkan bahwa salah satu akar penyebab zero-day terbaru ini mungkin terkait dengan risiko yang ditinggalkan oleh dua zero-day kritis sebelumnya, yaitu CVE-2026-1281 dan CVE-2026-1340, yang dieksploitasi sejak akhir Januari 2025.

Dampak dari eksploitasi zero-day sebelumnya menyebar ke hampir 100 korban, termasuk Otoritas Perlindungan Data Belanda dan Dewan untuk Peradilan pada awal Februari 2025.

“Zero-day terbaru ini memerlukan akses administratif terautentikasi untuk dieksploitasi. Oleh karena itu, pelanggan yang telah mengikuti rekomendasi Ivanti pada Januari untuk memutar ulang kredensial EPMM memiliki risiko yang jauh lebih rendah. Pelanggan yang tidak terdampak oleh kerentanan sebelumnya juga memiliki risiko yang jauh lebih kecil,” tambah juru bicara Ivanti.

Caitlin Condon, Wakil Presiden Riset Keamanan di VulnCheck, menjelaskan bahwa persyaratan hak administratif untuk mengeksploitasi CVE-2026-6973 menunjukkan bahwa kerentanan ini mungkin dimanfaatkan sebagai bagian dari attack chain yang bergantung pada metode lain untuk akses awal.

“Ivanti tidak memberikan atribusi mengenai aktor ancaman yang mengeksploitasi CVE-2026-6973, namun dua kerentanan lain di Ivanti EPMM pada 2026 — CVE-2026-1281 dan CVE-2026-1340 — telah dieksploitasi oleh berbagai aktor ancaman, termasuk kelompok yang dikaitkan dengan Cina dan Iran,” kata Condon kepada CyberScoop.

“Kerentanan tersebut sebelumnya merupakan kerentanan injeksi kode yang dapat dieksploitasi dari jarak jauh tanpa autentikasi, berbeda dengan CVE-2026-6973. Kedua kerentanan tersebut tampaknya telah diperbaiki dalam rilis Ivanti hari ini. Dibandingkan dengan kerentanan sebelumnya, zero-day terbaru ini memiliki tingkat keprihatinan awal yang lebih rendah karena memerlukan autentikasi administratif.”

Serangan terhadap kerentanan Ivanti telah menjadi masalah berulang bagi pelanggan dan praktisi keamanan, termasuk banyak kerentanan yang dieksploitasi sebelum Ivanti mendeteksinya.