Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Two Ivanti EPMM Zero-Day RCE Flaws Actively Exploited, Security Updates Released

1 minute de lecture

Mis à jour :

Exploitation de Vulnérabilités Critiques sur Ivanti EPMM

Deux failles de sécurité critiques affectant Ivanti Endpoint Manager Mobile (EPMM) ont été activement exploitées avant même la publication des correctifs. L’une de ces vulnérabilités a été ajoutée au catalogue des vulnérabilités connues et exploitées (KEV) par la CISA.

Ces vulnérabilités, identifiées comme des injections de code permettant une exécution de code à distance sans authentification, ont un impact significatif. Elles touchent diverses versions d’EPMM, notamment les versions 12.5.x, 12.6.x et 12.7.x antérieures aux correctifs RPM. Une correction permanente est attendue avec la version 12.8.0.0 au premier trimestre 2026.

Les attaques ciblent les fonctionnalités de distribution d’applications internes et de transfert de fichiers Android. Une exploitation réussie permettrait l’exécution de code arbitraire et l’accès à des informations sensibles sur les appareils gérés.

Points Clés :

  • Deux failles critiques (CVE-2026-1281 et CVE-2026-1340) affectent Ivanti EPMM.
  • Ces failles ont fait l’objet d’exploitations “zero-day”.
  • L’une des failles est désormais listée par la CISA comme étant exploitée.
  • Les vulnérabilités permettent une exécution de code à distance sans authentification.
  • Des correctifs temporaires (RPM) sont disponibles, mais doivent être réappliqués après une mise à niveau de version.
  • Une version corrigée définitive est prévue pour le premier trimestre 2026.

Vulnérabilités :

  • CVE-2026-1281 (Score CVSS : 9.8) : Injection de code permettant une exécution de code à distance non authentifiée.
  • CVE-2026-1340 (Score CVSS : 9.8) : Injection de code permettant une exécution de code à distance non authentifiée.

Recommandations :

  • Appliquer les mises à jour de sécurité publiées par Ivanti.
  • Si une mise à niveau de version est effectuée, réappliquer les correctifs RPM.
  • Surveiller les journaux d’accès Apache ( /var/log/httpd/https-access_log) à la recherche de tentatives d’exploitation (codes de réponse HTTP 404 associés au motif de l’attaque).
  • Examiner les journaux pour détecter des changements non autorisés : nouveaux administrateurs, modifications des configurations d’authentification, nouvelles applications poussées, modifications de politiques ou de configuration réseau.
  • En cas de compromission détectée, restaurer à partir d’une sauvegarde fiable ou reconstruire l’environnement EPMM.
  • Après une compromission, effectuer les actions suivantes : réinitialiser les mots de passe des comptes locaux et de service (LDAP, KDC), révoquer et remplacer le certificat public utilisé par EPMM.

Source

Vous pourriez aimer