Gần đây, một làn sóng khai thác chưa từng có đã được ghi nhận nhằm vào CVE-2026-1281, một lỗ hổng CVE nghiêm trọng trong Ivanti Endpoint Manager Mobile (EPMM). Sự kiện này đánh dấu một trong những chiến dịch tấn công phối hợp quy mô lớn nhất nhắm vào cơ sở hạ tầng quản lý thiết bị di động doanh nghiệp trong năm.

Vào ngày 9 tháng 2 năm 2026, các bản quét của Shadowserver đã phát hiện hơn 28.300 địa chỉ IP nguồn duy nhất cố gắng khai thác lỗ hổng này.

Tổng quan về CVE-2026-1281 và Mức độ Nghiêm trọng

CVE-2026-1281 là một lỗ hổng chèn mã trước xác thực (pre-authentication code injection vulnerability) với điểm CVSS là 9.8.

Lỗ hổng này cho phép kẻ tấn công thực hiện remote code execution (thực thi mã từ xa) mà không cần xác thực trên các phiên bản EPMM dễ bị tổn thương.

Nguyên nhân của lỗ hổng bắt nguồn từ việc không xử lý đầu vào đúng cách trong một Bash handler tại endpoint /mifs/c/appstore/fob/.

Điều này cho phép kẻ tấn công chèn các payload độc hại thông qua các tham số URL và thực thi các lệnh tùy ý với quyền của người dùng máy chủ web.

Chi tiết Khai thác và Quy mô Tấn công

Phân tích hạ tầng tấn công cho thấy sự tập trung địa lý đáng kể của các địa chỉ IP nguồn. Khoảng 72% các nguồn tấn công được quan sát, tương đương 20.400 địa chỉ IP, có nguồn gốc từ các mạng lưới ở Hoa Kỳ.

Vương quốc Anh đứng thứ hai với 3.800 IP nguồn, tiếp theo là Nga với 1.900 địa chỉ. Các hoạt động tấn công đáng kể khác cũng được ghi nhận từ Iraq, Tây Ban Nha, Ba Lan, Pháp, Ý, Đức và Ukraine, tuy với khối lượng thấp hơn đáng kể.

Các nhà nghiên cứu bảo mật từ GreyNoise và Defused đã xác định một thành phần tinh vi trong làn sóng khai thác lỗ hổng này.

Một nhà môi giới truy cập ban đầu (initial access broker) bị nghi ngờ đã triển khai các webshell “ngủ đông” (sleeper webshells) trên các phiên bản EPMM đã bị xâm nhập.

Hơn 80% hoạt động khai thác được theo dõi đến một địa chỉ IP duy nhất hoạt động phía sau hạ tầng bulletproof hosting.

Điều này cho thấy một hoạt động được phối hợp cao, được thiết kế để thiết lập quyền truy cập liên tục cho các tác nhân đe dọa khác khai thác sau đó.

Phương pháp kích hoạt bị trì hoãn này khác biệt đáng kể so với các cuộc tấn công cơ hội điển hình, vì các backdoor vẫn ở trạng thái ngủ cho đến khi được kích hoạt cho các hoạt động cụ thể.

Do EPMM quản lý các thiết bị di động, ứng dụng và nội dung trên môi trường doanh nghiệp, việc khai thác thành công CVE-2026-1281 mang lại cho kẻ tấn công quyền kiểm soát rộng lớn đối với cơ sở hạ tầng di động của công ty.

Điều này bao gồm khả năng triển khai các payload bổ sung cho các thiết bị được quản lý và tạo điều kiện cho việc di chuyển ngang (lateral movement) trong các mạng mục tiêu.

Phản ứng và Biện pháp Khắc phục

Ivanti đã công bố CVE-2026-1281 cùng với CVE-2026-1340 vào ngày 29 tháng 1 năm 2026, đồng thời thừa nhận rằng đã có các cuộc khai thác hạn chế trong thực tế đối với môi trường khách hàng.

Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã ngay lập tức thêm CVE-2026-1281 vào danh mục Các Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities catalog) của mình.

CISA đã đặt ra thời hạn khắc phục chưa từng có là ba ngày, nhấn mạnh mức độ nghiêm trọng của mối đe dọa này. Truy cập danh mục CISA KEV để biết thêm chi tiết.

Shadowserver Foundation đang tích cực chia sẻ dữ liệu IP của kẻ tấn công thông qua hệ thống báo cáo sự kiện máy quét honeypot HTTP của họ, với vulnerability_id được lọc thành CVE-2026-1281.

Các tổ chức có thể truy cập thông tin tình báo mối đe dọa này tại shadowserver.org để xác định và chặn các địa chỉ nguồn độc hại đang cố gắng khai thác cơ sở hạ tầng của họ.

Ivanti đã phát hành các bản vá RPM tạm thời cho các phiên bản bị ảnh hưởng. Một bản sửa lỗi vĩnh viễn dự kiến sẽ được phát hành trong phiên bản 12.8.0.0 vào Quý 1 năm 2026.

Khuyến nghị Bảo mật và Giám sát

Các đội ngũ bảo mật quản lý triển khai EPMM cần ngay lập tức áp dụng các bản vá có sẵn.

Điều quan trọng là phải giám sát các chỉ số xâm phạm (Indicators of Compromise – IOCs), bao gồm các hiện vật webshell bất thường và xem xét nhật ký truy cập để phát hiện các yêu cầu đáng ngờ đến endpoint dễ bị tổn thương của CVE-2026-1281.

Các IOC cần chú ý:

• Webshells không mong muốn trên các máy chủ EPMM.
• Các yêu cầu HTTP đáng ngờ đến endpoint /mifs/c/appstore/fob/.
• Hoạt động mạng bất thường hoặc lưu lượng truy cập ra ngoài từ các phiên bản EPMM.