Ivanti merilis pembaruan keamanan darurat untuk menutup dua celah kritis pada produk Endpoint Manager Mobile atau EPMM, setelah ditemukan adanya eksploitasi aktif di dunia nyata. Kedua kelemahan ini memungkinkan penyerang mengeksekusi perintah berbahaya dari jarak jauh tanpa perlu autentikasi, sehingga membuka jalan bagi pengambilalihan penuh sistem yang terdampak.
Masalah keamanan tersebut teridentifikasi sebagai CVE-2026-1281 dan CVE-2026-1340, masing-masing memiliki tingkat keparahan sangat tinggi dengan skor 9,8. Keduanya berasal dari kesalahan mekanisme pemrosesan kode yang dapat dimanipulasi untuk menjalankan perintah berbahaya langsung pada perangkat EPMM. Celah ini memengaruhi berbagai versi EPMM, termasuk seri 12.5, 12.6, dan 12.7, dengan perbaikan sementara disediakan melalui paket pembaruan RPM. Ivanti menargetkan perbaikan permanen melalui rilis versi 12.8.0.0 yang dijadwalkan meluncur pada kuartal pertama 2026.
Keberadaan eksploitasi aktif menjadikan isu ini jauh lebih serius. Ivanti mengonfirmasi bahwa sejumlah kecil pelanggan telah mengalami serangan yang memanfaatkan celah ini, meskipun detail metode dan pola serangan masih terbatas. Situasi ini mendorong Badan Keamanan Siber dan Infrastruktur Amerika Serikat atau CISA untuk memasukkan salah satu celah tersebut ke dalam katalog kerentanan yang telah dieksploitasi secara luas. Langkah ini menandakan adanya risiko nyata dan mendesak, terutama bagi organisasi pemerintah dan institusi besar.
EPMM sendiri merupakan solusi pengelolaan perangkat mobile yang menyimpan beragam data sensitif, mulai dari informasi perangkat, konfigurasi jaringan, hingga kebijakan keamanan. Ketika sistem ini berhasil ditembus, penyerang tidak hanya memperoleh kendali atas server, tetapi juga berpotensi melakukan pergerakan lateral ke sistem lain di dalam jaringan internal. Selain itu, data penting yang berkaitan dengan manajemen perangkat bisa diakses atau dimanipulasi, sehingga membuka celah kebocoran informasi dan gangguan operasional yang luas.
Ivanti mengungkapkan bahwa dalam kasus serangan sebelumnya, pelaku kerap memasang web shell dan reverse shell untuk mempertahankan akses jangka panjang. Teknik ini memungkinkan penyerang mengendalikan server secara tersembunyi dan berkelanjutan. Karena itu, pengguna disarankan memeriksa log akses Apache guna mendeteksi pola permintaan mencurigakan yang mengindikasikan percobaan eksploitasi. Pemeriksaan lanjutan juga perlu dilakukan terhadap akun administrator, konfigurasi autentikasi, kebijakan perangkat, serta pengaturan jaringan untuk memastikan tidak ada perubahan ilegal.
Jika ditemukan tanda kompromi, pemulihan sistem dari cadangan yang aman menjadi langkah utama. Selain itu, seluruh kata sandi akun lokal, layanan direktori, serta sertifikat keamanan perlu diganti guna memutus akses yang mungkin telah disusupi. Tindakan ini penting untuk memastikan lingkungan kembali berada dalam kondisi aman dan terkontrol.
Peristiwa ini menegaskan bahwa infrastruktur manajemen perangkat mobile menjadi target strategis bagi pelaku kejahatan siber. Dengan meningkatnya ketergantungan terhadap sistem digital untuk mengelola perangkat kerja, satu celah serius dapat berdampak luas terhadap operasional, keamanan data, dan reputasi organisasi. Pembaruan sistem, audit keamanan rutin, serta kewaspadaan terhadap aktivitas tidak wajar menjadi langkah krusial untuk mencegah kerugian yang lebih besar di masa depan.