Ivanti EPMM'de yeni sıfırıncı gün açığı: Saldırganlar yine hedefte

Ivanti EPMM’de yeni bir sıfırıncı gün açığı keşfedildi

Ivanti, Endpoint Manager Mobile (EPMM) adlı ürününde tespit edilen ve CVE-2026-6973 olarak numaralandırılan yeni bir sıfırıncı gün güvenlik açığının saldırganlar tarafından aktif olarak istismar edildiğini açıkladı. Bu açığın, giriş doğrulama hatası nedeniyle ortaya çıktığı ve yalnızca yönetici ayrıcalıklarına sahip yetkili kullanıcılar tarafından uzaktan kod çalıştırılmasına olanak tanıdığı belirtildi.

Şirket, 14 Şubat Perşembe günü yayınladığı güvenlik uyarısında, bu tehdidi duyururken aynı üründe tespit edilen dört ek yüksek önemdeki güvenlik açığını da paylaştı. Ivanti sözcüsü, "Açığın keşfedildiği sırada, CVE-2026-6973’ün sınırlı sayıda saldırıda istismar edildiğine dair bilgiler mevcut. Ancak bu istismar için yönetici erişimi gerekiyor" ifadelerini kullandı.

CISA, açığı hızla tehlikeli zafiyetler listesine ekledi

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ivanti’nin açıklamasından sadece birkaç saat sonra bu sıfırıncı gün açığını bilinen istismar edilen zafiyetler kataloğuna dahil etti. Ivanti, aynı gün yayınladığı yamalarla birlikte beş güvenlik açığının tümüne yönelik düzeltmeleri de duyurdu. Söz konusu açıklar şunlar:

• CVE-2026-5787
• CVE-2026-5788
• CVE-2026-6973
• CVE-2026-7821

Ivanti, bu dört açığın henüz aktif olarak istismar edilmediğini, yalnızca CVE-2026-6973’ün sınırlı sayıda saldırıda kullanıldığını belirtti. Şirket sözcüsü, "Bu zafiyetler, ileri düzey yapay zeka destekli tespit süreçleri, müşteri işbirliği ve sorumlu açıklama yoluyla son haftalarda keşfedildi" açıklamasını yaptı.

Eski bir çalışan tarafından bildirilen güvenlik açığı

Ivanti’nin açıklamasına göre, tespit edilen beş güvenlik açığından biri, eski bir çalışan tarafından sorumlu bir şekilde rapor edildi. Şirket, bu son sıfırıncı gün açığının kökeninin, Ocak ayında yoğun şekilde istismar edilen CVE-2026-1281 ve CVE-2026-1340 adlı iki kritik açığa dayandığını öne sürdü.

Bu iki açığın uzaktan kod enjeksiyonuna olanak tanıyan ve yetkisiz erişim gerektirmeyen zafiyetler olduğu biliniyor. Ocak ayında başlayan saldırılar, Hollanda Veri Koruma Kurumu ve Yargı Konseyi dahil olmak üzere yaklaşık 100 kurbanı etkiledi. Ivanti, bu tehdidin yayılmasını önlemek amacıyla Ocak ayında müşterilerine EPMM kimlik bilgilerini değiştirmelerini tavsiye etmişti.

Yönetici erişimi gerektiren yeni açığın risk düzeyi

Güvenlik araştırmacıları, CVE-2026-6973’ün yalnızca yönetici erişimiyle istismar edilebilir olmasının, bu açığın başka bir saldırı zincirinin parçası olarak kullanılmış olabileceğini gösterdiğini belirtiyor. VulnCheck Güvenlik Araştırmaları Başkan Yardımcısı Caitlin Condon, "Bu açığın hangi tehdit aktörleri tarafından istismar edildiğine dair herhangi bir bilgi paylaşılmadı. Ancak Ocak ayında tespit edilen CVE-2026-1281 ve CVE-2026-1340, Çin ve İran bağlantılı gruplar dahil olmak üzere çeşitli tehdit aktörleri tarafından kullanıldı" dedi.

Condon, "Bu iki açığın uzaktan ve yetkisiz erişimle istismar edilebilir olması, bugünkü yeni sıfırıncı gün açığından daha yüksek bir tehdit oluşturuyordu. Zira CVE-2026-6973 yalnızca yönetici erişimiyle kullanılabiliyor" şeklinde görüş bildirdi.

"Ivanti EPMM’deki güvenlik açıkları, şirketin müşterileri ve genel olarak siber güvenlik uzmanları için sürekli bir tehdit oluşturuyor. Özellikle bu tür zafiyetlerin birbiri ardına ortaya çıkması, şirketin güvenlik süreçlerini yeniden gözden geçirmesi gerektiğini gösteriyor."

Müşterilere acil yama önerisi

Ivanti, müşterilerini bu beş güvenlik açığına karşı ivedilikle yamaları uygulamaya çağırıyor. Şirket, özellikle Ocak ayında yaşanan saldırıların ardından EPMM kimlik bilgilerini değiştiren kullanıcıların bu yeni tehditten daha az etkileneceğini belirtiyor. Diğer kullanıcıların ise risk düzeyinin daha yüksek olduğunu vurguluyor.