Des attaquants non authentifiés peuvent détourner les sessions d’administration des entreprises gérant les points de terminaison de l’entreprise.
Ivanti a corrigé une vulnérabilité critique dans Endpoint Manager qui permet aux attaquants de détourner les sessions d’administrateur sans authentification et potentiellement de contrôler des milliers d’appareils d’entreprise.
La société a publié la version EPM 2024 SU4 SR1 pour corriger quatre vulnérabilités, y compris la faille critique identifiée comme CVE-2025-10573, qui porte un score CVSS de 9,6. Trois failles supplémentaires de haute gravité pourraient également permettre l’exécution de code mais nécessiteraient une interaction de l’utilisateur, a déclaré mardi Ivanti dans son avis de sécurité de décembre.
Ivanti a déclaré que les vulnérabilités avaient été signalées via son programme de divulgation responsable, ajoutant qu’elle n’avait connaissance d’aucun système client exploité au moment de la divulgation.
EPM a déjà été ciblé. En mars, CISA a ajouté trois vulnérabilités EPM à son catalogue de vulnérabilités exploitées connues après avoir confirmé leur exploitation dans la nature. Les failles avaient été corrigées en janvier après avoir été signalées en privé à Ivanti.
Compte tenu du fait qu’EPM a toujours été ciblé par des attaquants et de la gravité de la faille, les équipes de sécurité devraient traiter cela comme une situation de mise à jour immédiate plutôt que comme une mise à jour de routine.
La mise à jour de décembre a également corrigé CVE-2025-13659 et CVE-2025-13662, qui permettent aux attaquants d’exécuter du code arbitraire lorsque les utilisateurs se connectent à un serveur principal non fiable ou importent des fichiers de configuration non fiables. Un autre permet les écritures de fichiers non autorisées sur le serveur.
Vecteur d’attaque non authentifié
La vulnérabilité la plus grave est une faille de script intersite stockée découverte par Ryan Emmons, chercheur en sécurité chez Rapid7, qui l’a signalée à Ivanti en août.
Selon la divulgation technique de Rapid7, également publiée mardi, les attaquants peuvent soumettre des données d’analyse de périphériques malveillants à l’API de données entrantes d’EPM sans authentification. Les données malveillantes sont traitées et intégrées dans le tableau de bord Web d’EPM, où elles s’exécutent lorsque les administrateurs consultent les pages concernées.
« Un attaquant disposant d’un accès non authentifié au service Web EPM principal peut joindre de faux points de terminaison gérés au serveur EPM afin d’empoisonner le tableau de bord Web de l’administrateur avec du JavaScript malveillant », a écrit Emmons dans le rapport.
Une fois le JavaScript malveillant exécuté, les attaquants prennent le contrôle de la session d’administration avec tous les privilèges nécessaires pour contrôler à distance les points de terminaison et installer des logiciels sur les appareils.
Nick Tausek, architecte principal de l’automatisation de la sécurité chez Swimlane, a averti : « L’exploitation de cette faille permettrait aux acteurs malveillants d’accéder à plusieurs appareils gérés à la fois, permettant l’exécution de code malveillant, le déploiement de ransomware ou l’exfiltration de données sensibles. »
Le défi des correctifs
Malgré la gravité de ces menaces, les organisations ont souvent du mal à remédier rapidement aux vulnérabilités critiques : Tausek a déclaré que l’étude Swimlane a révélé que 68 % des organisations laissent les failles critiques non corrigées pendant plus de 24 heures et 55 % ne disposent pas d’un système complet pour hiérarchiser les vulnérabilités.
Ce retard est particulièrement risqué pour les systèmes de gestion des points finaux, qui fonctionnent avec des privilèges élevés et contrôlent des milliers d’appareils. Une exploitation réussie pourrait contourner les contrôles de sécurité et permettre aux attaquants de propager des logiciels malveillants vers les points finaux gérés, de modifier les configurations de sécurité ou d’établir des portes dérobées persistantes dans toute l’entreprise.
« Le potentiel d’une campagne d’exploitation sérieuse ne doit pas être négligé », a déclaré Tausek.
Modèle d’exploitation
Cette préoccupation n’est pas théorique. L’historique d’EPM rend l’application rapide de correctifs plus urgente. CISA a ajouté trois vulnérabilités EPM (CVE-2024-13159, CVE-2024-13160 et CVE-2024-13161) à son catalogue de vulnérabilités exploitées connues en mars après avoir confirmé leur exploitation active. L’agence a signalé une autre faille EPM exploitée (CVE-2024-29824) en octobre.
Ce ciblage répété démontre la valeur de l’EPM pour les attaquants recherchant un accès persistant au réseau et des capacités de mouvement latéral. Une fois que les attaquants compromettent l’infrastructure de gestion des points finaux, ils peuvent se propager rapidement à l’ensemble de l’entreprise.
Conseils de déploiement
Le correctif est disponible via le système de licence Ivanti et s’applique aux versions EPM 2024 SU4 et antérieures. Les organisations qui gèrent la branche 2022 doivent noter qu’elle arrive en fin de vie en octobre 2025 et qu’elle ne recevra plus de mises à jour de sécurité après cette date, ajoute l’avis d’Ivanti.
Les équipes de sécurité doivent donner la priorité à la mise à jour immédiate des instances EPM vers la version 2024 SU4 SR1, en particulier toutes les installations accessibles à partir de réseaux non fiables. Les organisations disposant d’instances EPM accessibles sur Internet sont confrontées au risque le plus élevé et doivent appliquer la mise à jour dans les 24 heures.
Pour les organisations qui ne peuvent pas appliquer les correctifs immédiatement, l’avis recommande de s’assurer que les interfaces de gestion EPM ne sont pas exposées à l’Internet public et de mettre en œuvre une segmentation stricte du réseau pour isoler les serveurs de gestion des réseaux non fiables.
Tausek a également recommandé de former les administrateurs à reconnaître les attaques d’ingénierie sociale, car la vulnérabilité critique XSS nécessite l’affichage d’une page de tableau de bord empoisonnée pour se déclencher.
« Étant donné que les EPM fonctionnent souvent avec des privilèges élevés, toute utilisation abusive risque de contourner les contrôles de sécurité et d’aggraver rapidement l’impact d’une violation », a ajouté Tausek.
