83% of Ivanti EPMM Exploits Linked to Single IP on Bulletproof Hosting Infrastructure

1 minute de lecture

Mis à jour : February 12, 2026

Exploitation d’Ivanti EPMM par un Serveur Pirate

Une grande partie des tentatives d’exploitation des vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM) provient d’une seule adresse IP hébergée sur une infrastructure de “bulletproof hosting” proposée par PROSPERO. Sur 417 sessions d’exploitation observées, 83% émanent de l’adresse 193.24.123[.]42. Cette activité cible deux failles critiques de type exécution de code à distance sans authentification. Plusieurs agences européennes ont déjà signalé avoir été ciblées.

Ce même serveur pirate exploite simultanément d’autres vulnérabilités sur des logiciels différents, notamment Oracle WebLogic (CVE-2026-21962), GNU InetUtils telnetd (CVE-2026-24061) et GLPI (CVE-2025-24799). La diversité des chaînes d’agent utilisateur utilisées et l’exploitation concurrente de multiples logiciels suggèrent l’utilisation d’outils automatisés.

L’analyse révèle que 85% des sessions d’exploitation effectuent des appels DNS pour vérifier la vulnérabilité des cibles sans déployer de charge utile immédiate, ce qui correspond à des tactiques d’accès initial. Une campagne antérieure avait signalé le déploiement d’un “sleeper shell” sur des instances EPMM compromises.

Points Clés :

L’exploitation des vulnérabilités d’Ivanti EPMM est concentrée sur une unique source pirate.
Le serveur pirate exploite également d’autres vulnérabilités sur différents logiciels.
L’exploitation vise à vérifier la vulnérabilité des cibles avant de déployer des charges utiles.

Vulnérabilités :

CVE-2026-1281 (Ivanti EPMM) - CVSS : 9.8 (Exécution de code à distance sans authentification)
CVE-2026-1340 (Ivanti EPMM) - (Exécution de code à distance sans authentification)
CVE-2026-21962 (Oracle WebLogic)
CVE-2026-24061 (GNU InetUtils telnetd)
CVE-2025-24799 (GLPI)

Recommandations :

Appliquer immédiatement les correctifs pour Ivanti EPMM.
Auditer l’infrastructure de gestion des appareils mobiles exposée sur Internet.
Examiner les journaux DNS pour détecter les schémas d’appels OAST (Out-of-Band Application Security Testing).
Surveiller le chemin d’accès /mifs/403.jsp sur les instances EPMM.
Bloquer le système autonome PROSPERO (AS200593) au niveau du périmètre réseau.
Les organisations disposant d’une infrastructure d’accès à distance exposée sur Internet doivent supposer que les vulnérabilités critiques peuvent être exploitées rapidement après leur divulgation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

83% of Ivanti EPMM Exploits Linked to Single IP on Bulletproof Hosting Infrastructure

Exploitation d’Ivanti EPMM par un Serveur Pirate

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)