Ivanti varsler om ny kritisk sårbarhet i EPMM – kunder oppfordres til umiddelbar oppdatering

Ny kritisk sårbarhet i Ivanti EPMM utnyttet aktivt

Angripere retter igjen oppmerksomheten mot Ivanti-kunder ved å utnytte en ny kritisk sårbarhet i selskapets Endpoint Manager Mobile (EPMM)-løsning. Ifølge en sikkerhetsadvarsel fra Ivanti er svakheten, sporet som CVE-2026-6973, en feil i inn-data-validering som tillater eksekvering av kode med administratorrettigheter. Selskapet har samtidig varslet om fire andre alvorlige sårbarheter i samme produkt.

Begrenset utnyttelse i naturen, men haster med oppdatering

Ivanti bekrefter at svakheten allerede er blitt utnyttet i begrenset omfang, men at det kreves autentisert administrator-tilgang for å misbruke sårbarheten. «Ved tidspunktet for varslingen er vi klar over svært begrenset utnyttelse i naturen av CVE-2026-6973,» uttalte en talskvinne for Ivanti til CyberScoop. Selskapet har imidlertid ikke opplyst om når den første utnyttelsen fant sted eller hvor mange kunder som eventuelt er berørt.

Cybersecurity and Infrastructure Security Agency (CISA) har allerede lagt til svakheten i sin liste over kjente utnyttede sårbarheter innen få timer etter Ivantis varsel. Ivanti har utgitt sikkerhetspatcher for alle fem sårbarhetene, inkludert de fire andre svakhetene som ennå ikke er blitt utnyttet i naturen:

• CVE-2026-5787
• CVE-2026-5788
• CVE-2026-6973
• CVE-2026-7821

«Vi oppdaget disse svakhetene i løpet av de siste ukene gjennom interne deteksjonsprosesser støttet av avansert AI, kundesamarbeid og ansvarlig varsling,» sa talskvinnen. En av svakhetene ble oppdaget og rapportert til Ivanti av en tidligere ansatt.

Kan spores tilbake til tidligere kritiske svakheter

Ivanti peker på at den nye sårbarheten kan ha sin opprinnelse i gjenværende risiko fra to tidligere kritiske svakheter, CVE-2026-1281 og CVE-2026-1340, som ble utnyttet fra slutten av januar. Konsekvensene av disse svakhetene rammet nesten 100 ofre, inkludert Nederlands datavernmyndighet og Rådet for domstolene, innen begynnelsen av februar.

«Den nye svakheten krever autentisert administrator-tilgang for å utnyttes, noe som betyr at kunder som har fulgt Ivantis anbefaling om å rotere EPMM-legitimasjoner i januar, har betydelig redusert risiko. Kunder som ikke ble berørt av den tidligere svakheten, har også lavere risiko,» forklarte talskvinnen.

Eksperter advarer om potensielle angrepskjeder

Caitlin Condon, visepresident for sikkerhetsforskning hos VulnCheck, påpeker at kravet om administratorrettigheter tyder på at svakheten kan ha blitt utnyttet som del av en større angrepskjede. «Ingen trusselaktører er blitt tilskrevet utnyttelsen av CVE-2026-6973, men to andre CVEr fra 2026 i Ivanti EPMM – CVE-2026-1281 og CVE-2026-1340 – har blitt utnyttet av en rekke aktører, inkludert grupper knyttet til Kina og Iran,» sa Condon til CyberScoop.

«De tidligere svakhetene var fjernutnyttbare uten autentisering, noe som gjorde dem mer kritiske enn dagens null-dagers-svakhet, som krever administratorrettigheter.»
– Caitlin Condon, VulnCheck

Angrep rettet mot Ivanti-produkter har blitt et tilbakevendende problem for både kunder og sikkerhetseksperter. Flere svakheter har blitt utnyttet før selskapet selv oppdaget dem, noe som understreker behovet for rask oppdatering og proaktiv sikkerhetshåndtering.

Anbefalinger for berørte kunder

Ivanti oppfordrer alle kunder til umiddelbart å installere de nye sikkerhetspatchene for å beskytte seg mot potensielle angrep. Selskapet anbefaler også:

• Rotasjons av EPMM-legitimasjoner som et ekstra sikkerhetstiltak
• Overvåking av systemer for mistenkelig aktivitet
• Gjennomgang av tilgangsrettigheter for å sikre at kun nødvendige brukere har administratorrettigheter