Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Ivanti warns of two EPMM flaws exploited in zero-day attacks

2 minute de lecture

Mis à jour :

Exploitation de Vulnérabilités Critiques dans Ivanti EPMM

Deux failles de sécurité critiques, identifiées comme CVE-2026-1281 et CVE-2026-1340, ont été découvertes dans Ivanti Endpoint Manager Mobile (EPMM). Ces vulnérabilités, de type injection de code et d’une gravité CVSS de 9.8, ont été exploitées en tant que “zero-day” avant leur divulgation officielle. Les attaquants, sans authentification, peuvent exécuter du code arbitraire sur les appareils vulnérables, accédant ainsi à des informations sensibles telles que les identifiants d’administrateurs et d’utilisateurs, les noms, les adresses e-mail, les numéros de téléphone, les adresses IP, les applications installées et les identifiants uniques des appareils (IMEI, MAC). L’accès aux données de localisation est également possible si le suivi est activé. De plus, les attaquants peuvent modifier les paramètres de configuration des appareils via l’API ou la console web EPMM.

Points Clés :

  • Produit affecté : Ivanti Endpoint Manager Mobile (EPMM)
  • Nature des vulnérabilités : Injection de code
  • Exploitation : En “zero-day” par des attaquants distants et sans authentification.
  • Impact : Exécution de code arbitraire, accès à des données sensibles des appareils et des utilisateurs, possibilité de modification des configurations.
  • Détection : L’activité suspecte peut être recherchée dans les logs d’accès Apache (/var/log/httpd/https-access_log) par des requêtes externes ciblant des points d’extrémité vulnérables qui retournent des codes d’erreur HTTP 404. Les logs hors serveur sont recommandés pour contourner les modifications post-exploitation.

Vulnérabilités :

  • CVE-2026-1281
  • CVE-2026-1340

Recommandations :

  • Mitigation immédiate : Ivanti a publié des scripts RPM pour les versions affectées d’EPMM. Il est conseillé d’appliquer ces correctifs sans délai. Ces correctifs temporaires doivent être réappliqués après une mise à niveau de version.
    • Versions EPMM 12.5.0.x, 12.6.0.x, et 12.7.0.x : Utiliser RPM 12.x.0.x
    • Versions EPMM 12.5.1.0 et 12.6.1.0 : Utiliser RPM 12.x.1.x
  • Correction permanente : Une correction définitive sera disponible dans la version EPMM 12.8.0.0, prévue pour le premier trimestre 2026.
  • En cas de compromission suspectée : Il n’est pas recommandé de nettoyer le système. Il faut restaurer EPMM à partir d’une sauvegarde antérieure à l’exploitation ou reconstruire l’appliance et migrer les données vers un nouveau système.
  • Actions post-restauration : Réinitialiser les mots de passe des comptes locaux EPMM, des comptes de service LDAP/KDC et de tout autre compte de service interne ou externe. Révoquer et remplacer le certificat public d’EPMM.
  • Revue des logs Sentry : Examiner les logs Sentry pour détecter toute activité suspecte ou mouvement latéral dans le réseau interne.
  • Exigence CISA : La CISA a ajouté CVE-2026-1281 à son catalogue des vulnérabilités connues et exploitées (KEV), exigeant des agences fédérales civiles de remédier aux systèmes vulnérables avant le 1er février 2026.

Source

Vous pourriez aimer