Vous êtes victime d'une attaque ?
Ivanti a révélé et corrigé deux vulnérabilités de sécurité critiques affectant Ivanti Endpoint Manager Mobile (EPMM) qui ont été activement exploitées dans des attaques de type "zero-day". Les failles, identifiées comme CVE-2026-1281 et CVE-2026-1340, permettent l'exécution de code à distance sans authentification et ont un score CVSS de 9,8, ce qui les place parmi les classes de vulnérabilités les plus sévères. L'une de ces vulnérabilités a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA, ce qui accroît considérablement l'urgence des mesures correctives, en particulier dans les environnements fédéraux américains.
Ces vulnérabilités permettent aux attaquants de compromettre les appareils EPMM exposés sans disposer d'informations d'identification valides, ce qui peut leur donner le contrôle total des systèmes qui gèrent et stockent les données sensibles des appareils mobiles et de la configuration de l'entreprise.
Aperçu des vulnérabilités
CVE-2026-1281 et CVE-2026-1340 sont des vulnérabilités d'injection de code dans Ivanti EPMM qui permettent aux attaquants d'exécuter des commandes arbitraires à distance et sans authentification. Les problèmes proviennent d'une mauvaise gestion des entrées dans les fonctions de distribution d'applications internes et de configuration de transfert de fichiers Android d'EPMM. Une exploitation réussie entraîne l'exécution directe du code sur l'appliance elle-même, ce qui crée un scénario à haut risque étant donné le rôle privilégié de l'EPMM dans les environnements d'entreprise.
Les vulnérabilités affectent plusieurs versions supportées d'Ivanti EPMM, y compris les versions 12.5.x, 12.6.x, et 12.7.x. Ivanti a publié des correctifs provisoires basés sur RPM pour les versions affectées ; cependant, ces correctifs ne persistent pas à travers les mises à niveau de version et doivent être réappliqués si l'appliance est mise à jour. Un correctif permanent est attendu avec la sortie de la version 12.8.0.0 d'EPMM, prévue plus tard au cours du premier trimestre 2026.
Il est important de noter qu'Ivanti a déclaré qu'aucun autre produit Ivanti n'est affecté par ces vulnérabilités, y compris Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) et Ivanti Sentry.
Risque d'exploitation et de post-compromission
Ivanti a confirmé qu'un nombre limité de clients ont été activement exploités avant la divulgation publique, bien que l'entreprise ait noté qu'elle ne dispose pas actuellement d'une visibilité suffisante sur les outils et l'infrastructure des acteurs de la menace pour publier des indicateurs atomiques fiables de la compromission. Sur la base d'attaques historiques contre des vulnérabilités EPMM antérieures, Ivanti estime que les attaquants établissent généralement une persistance par le biais de shells web ou de shells inversés déployés directement sur l'appareil compromis.
Une fois qu'un système EPMM est compromis, les attaquants ont la possibilité d'exécuter un code arbitraire, d'accéder à des données sensibles liées à des dispositifs gérés, et potentiellement de pivoter latéralement dans des environnements d'entreprise connectés. Les appliances EPMM se situant souvent à l'intersection de l'identité, de la gestion des appareils et de l'accès au réseau, une compromission réussie peut avoir des conséquences en cascade sur la sécurité, bien au-delà de l'appliance elle-même.
Conseils en matière de détection
Étant donné l'absence d'indicateurs détaillés, la détection repose actuellement sur l'analyse des journaux et l'examen de la configuration. Ivanti conseille à ses clients d'inspecter les journaux d'accès Apache situés dans /var/log/httpd/https-access_log à la recherche de requêtes suspectes ciblant des points d'extrémité vulnérables. Les requêtes qui renvoient des réponses HTTP 404, au lieu des réponses 200 attendues en cas d'utilisation légitime, peuvent indiquer une tentative d'exploitation ou une exploitation réussie. Ivanti a fourni une expression régulière pour aider à identifier de telles entrées et recommande de corréler les résultats avec les horodatages et les adresses IP sources.
Au-delà de l'analyse des journaux, les organisations sont encouragées à examiner les comptes administratifs EPMM pour détecter les changements non autorisés, à examiner les configurations d'authentification telles que LDAP et SSO, et à examiner minutieusement les politiques d'appareils et les applications poussées nouvellement créées ou modifiées. Les modifications inattendues de la configuration du réseau ou du VPN distribuées par l'intermédiaire de l'EPMM devraient également être considérées comme des indicateurs potentiels de compromission.
Ce qu'il faut faire
Les organisations utilisant Ivanti EPMM doivent traiter ces vulnérabilités comme un risque immédiat et de haute sévérité. La première priorité doit être d'appliquer les correctifs RPM appropriés émis par Ivanti à toutes les instances EPMM concernées, étant entendu que ces correctifs doivent être réappliqués après toute mise à niveau de version jusqu'à ce que EPMM 12.8.0.0 soit déployé. Les appliances EPMM orientées vers l'internet devraient être considérées comme présentant un risque particulièrement élevé et faire l'objet d'une priorité en conséquence.
Parallèlement à l'application des correctifs, les équipes doivent procéder à un examen approfondi des journaux d'accès à Apache et des paramètres de configuration d'EPMM afin d'identifier tout signe d'exploitation. Étant donné qu'Ivanti ne recommande pas d'essayer de nettoyer manuellement une appliance compromise, toute indication d'une exploitation réussie devrait déclencher un processus de récupération complet. Cela implique de restaurer l'appliance à partir d'une sauvegarde de qualité connue effectuée avant la compromission ou de construire une nouvelle instance EPMM et d'y migrer des données propres.
Après la reprise, les organisations doivent supposer que les informations d'identification ont été exposées et prendre des mesures correctives en réinitialisant tous les mots de passe des comptes EPMM locaux, en faisant tourner les informations d'identification des comptes de service LDAP et Kerberos, et en révoquant et remplaçant tous les certificats publics utilisés par l'appliance EPMM. Les systèmes et services connectés doivent faire l'objet d'un examen plus approfondi afin de détecter tout signe de mouvement latéral, en particulier dans les environnements où l'EPMM est intégré à des contrôles d'accès aux identités ou aux réseaux.
Enfin, les équipes de sécurité devraient mettre à jour leurs manuels de gestion des vulnérabilités et de réponse aux incidents afin d'inclure explicitement l'EPMM et les appareils d'infrastructure similaires en tant que cibles de grande valeur. La surveillance continue des activités sortantes anormales des systèmes EPMM et la validation proactive des sauvegardes contribueront à réduire le temps d'attente et à limiter l'impact en cas de tentatives d'exploitation ultérieures.
Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment vous pouvez protéger votre organisation.
