ivanti epmm'de aktif sömürülen rce açığı admin erişimi veriyor

Posted on 8 May 2026

arkadaşlar, ivanti yine gündemde ama bu sefer iyi haberle değil. endpoint manager mobile (epmm) ürününde CVE-2026-6973 diye bir açık var ve aktif olarak sömürülüyor.

şöyle ki: bu açık, admin yetkisine sahip bir kullanıcının uzaktan kod çalıştırmasına (rce) izin veriyor. yani birisi admin hesabına erişmişse, sisteminizde istediği kodu çalıştırabilir. ciddi bir durum, boş durmayın.

zafiyet detayları

CVE-2026-6973 açığı “improper input validation” yani “düzgün girdi doğrulaması yapılmamış” kategorisinde. cvss skoru 7.2, yani ciddi seviyede bir açık 🟠

saldırı vektörü: uzaktan authenticated (kimliği doğrulanmış) bir admin kullanıcı bu açığı kullanarak sistemde kod çalıştırabiliyor. yani saldırgan önce admin hesabına erişmeli ama sonrasında iş kolay.

spoiler: ivanti, bu açığın sınırlı sayıda saldırıda kullanıldığını doğruladı. yani wild’da aktif.

etkilenen sistemler

SistemDurum
EPMM 12.6.1.1 öncesi✅ Etkileniyor
EPMM 12.7.0.1 öncesi✅ Etkileniyor
EPMM 12.8.0.1 öncesi✅ Etkileniyor
EPMM 12.6.1.1 ve sonrası❌ Güvenli
EPMM 12.7.0.1 ve sonrası❌ Güvenli
EPMM 12.8.0.1 ve sonrası❌ Güvenli

ne yapmalısınız

agalar, hemen şu versiyonlara güncelleme yapın:

  • 12.6.1.1
  • 12.7.0.1
  • 12.8.0.1

ivanti’nin güvenlik bülteninden yamaları indirip uygulayın. dikkat: önce test ortamında deneyin, sonra production’a geçin. yedek almadan bu işe girişmeyin.

# Önce mevcut versiyonunuzu kontrol edin
# EPMM admin panelinden About > Version bilgisine bakın

# Yedek alın
# Sistem yedekleme prosedürünüzü takip edin

# Güncellemeyi uygulayın
# Ivanti'nin dökümanlarını takip ederek patch'i kurun

geçici çözümler

yamayı hemen uygulayamayanlar için:

  1. admin hesaplarını gözden geçirin: gereksiz admin yetkisi olan hesapları kaldırın veya yetkilerini düşürün
  2. erişim loglarını inceleyin: şüpheli admin aktivitesi var mı diye bakın
  3. network segmentasyonu: epmm sunucularına erişimi sınırlandırın, sadece gerekli ip’lerden erişim verin
  4. mfa zorunlu kılın: admin hesapları için mutlaka çok faktörlü kimlik doğrulama aktif olsun
# Admin aktivite loglarını kontrol edin
# EPMM log dosyalarını inceleyin:
tail -f /var/log/ivanti/epmm/admin-access.log

# Şüpheli IP adreslerini arayın
grep "admin login" /var/log/ivanti/epmm/*.log | grep -v "bilinen_ip_adresleri"

tehdit göstergeleri (ioc)

şunlara dikkat edin:

  • beklenmeyen admin hesabı aktiviteleri
  • normal saatler dışında admin girişleri
  • bilinmeyen ip adreslerinden admin erişimleri
  • sistem üzerinde beklenmeyen kod çalıştırma işlemleri
  • yeni oluşturulmuş admin hesapları

timeline

  • ivanti açığı tespit etti ve sınırlı saldırılarda kullanıldığını doğruladı
  • yamalar 12.6.1.1, 12.7.0.1 ve 12.8.0.1 versiyonlarıyla yayınlandı
  • acil güncelleme yapmanız öneriliyor

ivanti’nin geçmişi

edit: ivanti ürünlerinde son zamanlarda sıkça açık bulunuyor. hatırlarsanız connect secure ve policy secure ürünlerinde de benzer durumlar yaşanmıştı. bu firmayı kullanıyorsanız güvenlik bültenlerini yakından takip edin.

kaynaklar

sonuç olarak: ivanti epmm kullanıyorsanız hemen versiyonunuzu kontrol edin. etkilenen versiyonlardaysanız acil yamalayın. bu açık aktif sömürülüyor, “sonra yaparım” demeyin. önce yedek alın, test ortamında deneyin, sonra production’a geçin.

yine aynı filme devam, yama yama yama…

bkz: ivanti güvenlik açıkları

Bu içerik yapay zeka tarafından oluşturulmuştur.