Les vulnérabilités corrigées dans Ivanti Endpoint Manager et Cisco Catalyst SD-WAN sont attaquées, selon l’agence de sécurité américaine, qui a ajouté des exigences de reporting à sa précédente directive Cisco.
L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti qu’une vulnérabilité de contournement d’authentification corrigée dans Ivanti Endpoint Manager (EPM) le mois dernier était désormais exploitée de manière sauvage. L’agence a également mis à jour sa directive relative à deux failles Cisco Catalyst SD-WAN qui ont également été corrigées le mois dernier après avoir été utilisées dans des attaques zero-day.
La vulnérabilité Ivanti EPM, identifiée comme CVE-2026-1603, affecte les versions EPM antérieures à 2024 SU5. Il permet à un attaquant distant non authentifié de divulguer les données d’identification stockées et a été corrigé le 9 février avec une autre faille d’injection EPM SQL identifiée comme CVE-2026-1602.
À l’époque, Ivanti avait crédité un chercheur travaillant avec le programme Zero Day Initiative de Trend Micro pour avoir signalé les vulnérabilités et avait déclaré qu’il n’était pas au courant de clients exploités par ces vulnérabilités.
Cette situation semble avoir changé avec l’ajout cette semaine du CVE-2026-1603 à son catalogue de vulnérabilités exploitées connues (KEV) avec deux autres : une faille d’exécution de code à distance dans le service d’assistance Web de SolarWinds (CVE-2025-26399) et un problème de falsification de requête côté serveur (SSRF) dans VMware Workspace ONE UEM (Unified Endpoint Management), qui fait désormais partie d’Omnissa. (CVE-2021-22054).
Bien que la faille SolarWinds Web Help Desk ait été corrigée en septembre de l’année dernière, il convient de noter qu’il s’agissait d’un contournement d’une ancienne faille de désérialisation Java, CVE-2024-28986, qui a été exploitée dans la nature peu de temps après avoir été corrigée. Pour cette raison, les chercheurs ont averti que CVE-2025-26399 suivrait probablement un chemin similaire, ce que la CISA a maintenant confirmé.
SolarWinds WHD est un produit qui a déjà été ciblé, notamment cette année en janvier via deux vulnérabilités zero-day.
Cette semaine également, CISA a mis à jour sa directive d’urgence relative aux CVE-2026-20127 et CVE-2022-20775 – une faille de contournement d’authentification et un problème d’élévation de privilèges dans le contrôleur et le logiciel Cisco SD-WAN. Les agences de cybersécurité de l’alliance Five Eyes ont publié le mois dernier un avis conjoint concernant CVE-2026-20127 après que la faille ait été identifiée dans des attaques actives.
Ce qui est encore pire, c’est qu’il y avait des signes que la vulnérabilité avait été exploitée depuis 2023, de sorte que les attaques ont réussi à passer inaperçues pendant près de 3 ans.
La CISA a émis une directive aux agences gouvernementales fédérales pour qu’elles identifient les systèmes concernés sur leurs réseaux, corrigent les failles et recherchent les compromissions. La version mise à jour de la directive publiée cette semaine ajoute des exigences concernant les rapports et les actions. Plus précisément, les agences fédérales doivent soumettre à CISA les journaux collectés lors des déploiements SD-WAN avant le 26 mars.
