Ivanti EPMM CVE-2026-1340
CVE-2026-1340은 Ivanti Endpoint Manager Mobile(EPMM)의 코드 주입 취약점이다. NVD는 이 결함이 인증 없이 원격 코드 실행으로 이어질 수 있다고 설명한다. Ivanti는 2026-01-29에 두 개의 EPMM 취약점이 zero-day 공격에서 악용됐다고 공지했다. BleepingComputer는 2026-04-08...
요약
CVE-2026-1340은 Ivanti Endpoint Manager Mobile(EPMM)의 코드 주입 취약점이다. NVD는 이 결함이 인증 없이 원격 코드 실행으로 이어질 수 있다고 설명한다. Ivanti는 2026-01-29에 두 개의 EPMM 취약점이 zero-day 공격에서 악용됐다고 공지했다. BleepingComputer는 2026-04-08 보도에서 CISA가 이를 KEV Catalog에 넣고 연방기관에 2026-04-11까지 조치를 요구했다고 전했다.
NVD는 2026-01-29에 레코드를 받았고, 2026-02-20에 초기 분석을 추가했다. NVD가 적은 영향 범위는 Endpoint Manager Mobile 12.7.0.0 이하이다.
Warning
인터넷에 노출된 EPMM는 패치 전까지 외부 접근을 최소화한다. 관리 포트는 승인된 출발지로만 열어 둔다.
타임라인
| 날짜 | 내용 |
|---|---|
| 2026-01-29 | Ivanti가 두 개의 EPMM 취약점을 공개했고, NVD도 같은 날 CVE 레코드를 받았다. |
| 2026-02-20 | NVD 초기 분석이 추가됐다. |
| 2026-04-08 | BleepingComputer가 CISA의 KEV 반영과 대응 기한을 보도했다. |
| 2026-04-11 | CISA가 연방기관에 제시한 조치 기한이다. |
영향
이 이슈는 코드 주입으로 분류된다. NVD 설명상 결과는 인증 없는 원격 코드 실행이다. Ivanti가 공지한 CVSS는 9.8이다. NVD 변경 이력에는 Endpoint Manager Mobile 12.7.0.0 이하가 영향 범위로 적혀 있다.
EPMM는 관리 기능과 인증 연동이 함께 붙는 구성이다. 외부에 노출된 상태라면 영향 범위가 커질 수 있다.
대응 포인트
- 인터넷 노출 EPMM 인스턴스를 찾는다.
- 관리 포트와 인터페이스를 VPN, 제한된 관리망, 승인된 소스 IP로 묶는다.
- Ivanti 수정 사항을 적용한다.
- 적용 전후로 관리자 계정 변경, 서비스 등록, 예약 작업, 비정상 프로세스, 외부 연결 증가를 확인한다.
- WAF, reverse proxy, VPN, LB 로그에서 EPMM로 향한 비정상 요청을 본다.
- 등록 단말 정책 변경, 인증 연계 오류, 설정 내보내기 흔적을 함께 본다.
#!/usr/bin/env bash
while read -r host; do
echo "== $host =="
curl -skI "https://$host/" | egrep -i 'server|location|set-cookie|ivanti|mobileiron|epmm'
echo
done < epmm_candidates.txt
grep -Ei 'ivanti|mobileiron|epmm' cmdb_export.csv
grep -Ei '401|403|404|500|502|503|ivanti|mobileiron|epmm' access.log
ps -ef
ss -plant
systemctl list-units --type=service
crontab -l
find /var/log -type f | grep -Ei 'auth|access|error|audit'
참고 자료
- NVD - CVE-2026-1340
- Known Exploited Vulnerabilities Catalog
- Ivanti warns of two EPMM flaws exploited in zero-day attacks
- CISA orders feds to patch exploited Ivanti EPMM flaw by Sunday