Hacker Attacke

Cinq nouvelles failles, dont une exploitée, découvertes dans Ivanti Endpoint Manager Mobile

Lucas Morel

Cette découverte montre pourquoi les OSC doivent s’éloigner des solutions de sécurité sur site traditionnelles, explique un expert.

« Mettez à jour aujourd’hui pour survivre au week-end », a déclaré Robert Enderle du groupe Enderle, « mais commencez à planifier votre sortie de l’ancien MDM dès que possible. »

Il commentait un avis publié jeudi par Ivanti concernant la découverte de cinq trous dans sa suite Endpoint Manager Mobile (EPMM). Des mises à jour pour tous sont disponibles.

Les failles sont suffisamment graves pour que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ait ajouté l’une des vulnérabilités à son catalogue de vulnérabilités exploitées connues, car elle est activement exploitée.

« Ce n’est pas un incident isolé », a ajouté Enderle. « Il s’agit d’une continuation du cycle que nous avons observé en janvier, suggérant une architecture sous-jacente qui peine à résister aux menaces modernes. »

Un « nombre très limité de clients » a été exploité via l’une des vulnérabilités révélées cette semaine, CVE-2026-6973. Une validation d’entrée incorrecte dans EPMM avant les versions 12.6.1.1, 12.7.0.1 et 12.8.0.1 permet à un utilisateur authentifié à distance avec un accès administratif d’exécuter du code à distance.

Johannes Ullrich, doyen de la recherche au SANS Institute, nous a déclaré qu’Ivanti avait raison de souligner que l’exploitation de cette faille nécessite un accès administratif et que les attaquants peuvent avoir obtenu les informations d’identification nécessaires en exploitant des vulnérabilités antérieures. La rotation des informations d’identification est essentielle après avoir corrigé une vulnérabilité déjà exploitée, a-t-il déclaré. « Même si aucun signe évident de compromission n’est constaté, il est difficile, voire impossible, d’exclure une compromission. Il est préférable d’effectuer une rotation des informations d’identification même si aucun indicateur de compromission n’a été trouvé. »

Ullrich a également souligné que dans un article de blog accompagnant l’avis, Ivanti a déclaré qu’il utilisait des outils d’IA pour identifier de manière proactive de nouvelles vulnérabilités. « Cela pourrait entraîner davantage de rapports de vulnérabilité à l’avenir », a-t-il déclaré. « J’applaudis l’ouverture d’Ivanti et sa volonté d’énumérer publiquement les vulnérabilités au fur et à mesure qu’elles sont corrigées. Il est important pour les organisations utilisant le produit Ivanti (ou tout autre produit) de comprendre les risques liés au fait de ne pas appliquer de correctif ou de retarder l’application du correctif. »

Les quatre autres défauts sont :

  • CVE-2026-5787, avec un score CVSS de 8,9, une validation de certificat incorrecte qui permet à un attaquant distant et non authentifié d’usurper l’identité des hôtes de passerelle de sécurité Ivanti Sentry enregistrés et d’obtenir des certificats clients valides signés par une autorité de certification ;
  • CVE-2026-5786, avec un score CVSS de 8,8, une vulnérabilité de contrôle d’accès inapproprié qui permet à un attaquant authentifié à distance d’obtenir un accès administratif ;
  • CVE-2026-5788, un trou de validation d’entrée inapproprié qui permet à un utilisateur authentifié à distance avec des privilèges d’administrateur d’exécuter du code à distance.
    Ullrich s’est déclaré « surpris qu’Ivanti ait attribué un score CVSS aussi faible, 7,0, à cette vulnérabilité. La description semble plus sévère, mais il n’y a pas suffisamment de détails pour déterminer comment Ivanti a évalué cette vulnérabilité » ;
  • CVE-2026-7821, une vulnérabilité de validation de certificat inappropriée qui permet à un attaquant distant non authentifié d’inscrire un appareil appartenant à un ensemble restreint d’appareils non inscrits, conduisant à la divulgation d’informations sur l’appliance EPMM concernée.

Sentry ne contient aucune de ces vulnérabilités. Toutefois, les administrateurs Ivanti doivent savoir que s’ils ajoutent un nouveau serveur Sentry après la mise à jour d’EPMM, ils devront utiliser l’une des nouvelles versions de Sentry (10.4.2, 10.5.1 ou 10.6.1).

« Au-delà du correctif immédiat », a-t-il ajouté, « vérifiez que l’inscription des appareils Apple est désactivée s’ils ne sont pas utilisés, et commencez une évaluation stratégique pour déterminer si ces appareils sur site vieillissants correspondent toujours à un modèle Zero Trust. »

VulnérabilitésSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker Attacke
Cinq nouvelles failles, dont une exploitée, découvertes dans Ivanti Endpoint Manager Mobile
shutterstock 1951501180 old fashioned bomb with lit fuse against gray background
Votre programme CTEM ignore probablement MCP. Voici comment y remédier
Chrome
Claude dans Chrome prend les commandes des mauvaises extensions