Ivanti a mis en œuvre des mises à jour de sécurité pour corriger deux failles de sécurité affectant Ivanti Endpoint Manager Mobile (EPMM) qui ont été exploitées lors d'attaques Zero Day, dont l'une a été ajoutée par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à son catalogue de vulnérabilités exploitées connues (KEV).
Les vulnérabilités de gravité critique sont répertoriées ci-dessous :
- CVE-2026-1281 (Score CVSS : 9,8) – Une injection de code qui permet aux attaquants d’exécuter du code non authentifié à distance.
- CVE-2026-1340 (Score CVSS : 9,8) – Une injection de code qui permet aux attaquants d’exécuter du code non authentifié à distance.
Ils affectent les versions suivantes :
- EPMM 12.5.0.0 et versions antérieures, 12.6.0.0 et versions antérieures, et 12.7.0.0 et versions antérieures (corrigé dans RPM 12.x.0.x)
- EPMM 12.5.1.0 et versions antérieures et 12.6.1.0 et versions antérieures (corrigé dans RPM 12.x.1.x)
Cependant, il convient de noter que le correctif RPM ne survit pas à une mise à jour de version et doit être réappliqué si l'appareil est mis à jour vers une nouvelle version. Les vulnérabilités seront définitivement corrigées dans la version 12.8.0.0 d'EPMM, qui sera publiée plus tard au cours du premier trimestre 2026.
“Nous connaissons un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation”, a déclaré Ivanti dans un avis, ajoutant qu'il ne disposait pas de suffisamment d'informations sur les tactiques des acteurs de la menace pour fournir des indicateurs atomiques fiables et éprouvés.
La société a noté que CVE-2026-1281 et CVE-2026-1340 affectent les fonctionnalités internes de distribution d'applications et de paramètres de transfert de fichiers d'Android. Ces déficiences n'affectent pas les autres produits, notamment Ivanti Neurons for MDM, Ivanti Endpoint Manager (EPM) ou Ivanti Sentry.
Dans une analyse technique, Ivanti a déclaré avoir généralement constaté deux formes de persistance basées sur des attaques précédentes ciblant des vulnérabilités plus anciennes dans EPMM. Cela inclut la mise en œuvre de shells Web et de shells inversés pour configurer la persistance sur les appareils compromis.
« Une exploitation réussie du périphérique EPMM permettra l'exécution de code arbitraire sur le périphérique », a noté Ivanti. “En plus des mouvements latéraux dans l'environnement connecté, l'EPMM contient également des informations sensibles sur les appareils gérés par l'appareil.”
Les utilisateurs sont encouragés à vérifier le journal d'accès Apache à l'adresse « /var/log/httpd/https-access_log » pour détecter tout signe d'exploitation tentée ou réussie à l'aide du modèle d'expression régulière (regex) suivant :
^(?!127\.0\.0\.1:\d+
.*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
“Une utilisation légitime de ces fonctionnalités entraînera 200 codes de réponse HTTP dans le journal d'accès Apache, tandis qu'un exploit réussi ou tenté entraînera 404 codes de réponse HTTP”, a-t-il expliqué.
De plus, les clients sont invités à examiner les éléments suivants pour rechercher des preuves de modifications de configuration non autorisées :
- Administrateurs EPMM pour les administrateurs nouveaux ou récemment modifiés
- Paramètres d'authentification, y compris les paramètres SSO et LDAP
- Nouvelles applications push pour appareils mobiles
- Modifications de la configuration des applications que vous envoyez aux appareils, y compris les applications internes
- Politiques nouvelles ou récemment modifiées
- Modifications apportées aux paramètres réseau, y compris les paramètres réseau ou VPN que vous envoyez aux appareils mobiles
Si des signes de compromission sont détectés, Ivanti encourage également les utilisateurs à restaurer le périphérique EPMM à partir d'une sauvegarde saine ou à créer un EPMM de remplacement, puis à migrer les données vers le périphérique. Une fois les étapes complétées, il est essentiel d’apporter les changements suivants pour protéger l’environnement :
- Réinitialiser le mot de passe de n'importe quel compte EPMM local
- Réinitialiser le mot de passe des comptes de service LDAP et/ou KDC qui effectuent des recherches
- Révoquer et remplacer le certificat public utilisé pour votre EPMM
- Réinitialiser le mot de passe de tout autre compte de service interne ou externe configuré avec la solution EPMM
Ce développement a conduit la CISA à ajouter le CVE-2026-1281 au catalogue KEV, obligeant les agences du Federal Civil Executive Branch (FCEB) à appliquer les mises à jour d'ici le 1er février 2026.
