Les failles d’injection de code permettent l’exécution de code à distance non authentifié sur les déploiements Ivanti Endpoint Manager Mobile, mais mettent également en danger les passerelles de trafic mobile Ivanti Sentry connectées.
La société de logiciels informatiques Ivanti a publié des correctifs pour son produit Endpoint Manager Mobile (EPMM) afin de corriger deux nouvelles vulnérabilités d’exécution de code à distance déjà attaquées dans la nature.
« Nous connaissons un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation », a déclaré la société dans un avis de sécurité identifiant les nouvelles failles comme CVE-2026-1281 et CVE-2026-1340.
Les deux problèmes sont décrits par Ivanti comme des problèmes d’injection de code pouvant être exploités sans authentification et sont notés 9,8 sur 10 sur l’échelle de gravité CVSS. Les failles concernent les fonctionnalités de distribution d’applications internes d’EPMM et de configuration de transfert de fichiers Android.
Correctifs autonomes et détails d’exploitation disponibles
Ivanti n’a pas publié de nouvelles versions entièrement corrigées d’EPMM, mais plutôt des correctifs autonomes spécifiques à la version qui doivent être appliqués manuellement. Les correctifs sont conditionnés sous forme de fichiers RPM et peuvent être installés avec le install rpm url (patch_url) commande.
Le correctif RPM_12.x.0.x s’applique aux versions 12.5.0.x, 12.6.0.x et 12.7.0.x du logiciel EPMM. Il est également compatible avec les anciennes versions 12.3.0.x et 12.4.0.x. Pendant ce temps, le correctif RPM_12.x.1.x est applicable aux versions 12.5.1.0 et 12.6.1.0.
« Le script RPM ne survit pas à une mise à niveau de version », prévient la société. « Si après avoir appliqué le script RPM à votre appliance, vous effectuez une mise à niveau vers une nouvelle version, vous devrez réinstaller le RPM. Le correctif permanent pour cette vulnérabilité sera inclus dans la prochaine version du produit : 12.8.0.0. »
Bien que le produit de passerelle Ivanti Sentry qui sécurise le trafic entre les appareils mobiles et les systèmes d’entreprise dorsaux ne soit pas directement affecté par ces vulnérabilités, les appliances EPMM disposent d’une autorisation d’exécution de commandes sur les passerelles Sentry. Ainsi, si un déploiement EPMM a été compromis, les attaquants pourraient également avoir compromis Ivanti Sentry.
Les chercheurs de la société de tests d’intrusion WatchTowr ont procédé à une ingénierie inverse des correctifs et ont pu déterminer où se trouvent les vulnérabilités et comment les exploiter. Un article détaillé est disponible sur le blog de l’entreprise.
Détection et correction des exploits
Ivanti a publié un document distinct contenant des conseils sur la façon d’analyser les appliances EPMM pour détecter toute compromission potentielle due à ces vulnérabilités. Tout d’abord, le journal d’accès Apache trouvé sur /var/log/httpd/https-access_log pourrait avoir des preuves d’une tentative ou d’une exécution réussie de ces vulnérabilités.
La société conseille de trier les journaux avec le ^(?!127.0.0.1:d+ .*$).*?/mifs/c/(aft|app)store/fob/.*?404 expression régulière et recherche de codes de réponse d’erreur HTTP 404 ainsi que de requêtes GET avec des paramètres comportant des commandes bash.
« Le plus courant est l’introduction ou la modification de fichiers malveillants pour introduire des fonctionnalités de shell Web », a déclaré la société. « Ivanti a souvent constaté que ces modifications ciblent les pages d’erreur HTTP, telles que 401.jsp. Toute requête sur ces pages avec des méthodes POST ou avec des paramètres doit être considérée comme très suspecte. Les analystes qui effectuent une inspection médico-légale du disque doivent également rechercher des fichiers WAR ou JAR inattendus introduits dans le système. «
Une chose à noter est que les attaquants suppriment régulièrement les journaux pour masquer leurs traces et que sur les systèmes très utilisés, les journaux peuvent être alternés plusieurs fois par jour. C’est pourquoi il est fortement conseillé aux clients d’utiliser les fonctionnalités d’exportation de données pour transférer les journaux de l’appliance EPMM vers leur système SIEM ou d’autres agrégateurs de journaux.
Pour tout appareil qui pourrait être affecté, Ivanti recommande de vérifier :
- Administrateurs EPMM pour les administrateurs nouveaux ou récemment modifiés
- Configuration de l’authentification, y compris les paramètres SSO et LDAP
- Nouvelles applications poussées pour les appareils mobiles
- Modifications de configuration des applications que vous transférez sur les appareils, y compris les applications internes
- Politiques nouvelles ou récemment modifiées
- Modifications de la configuration réseau, y compris toute configuration réseau ou configuration VPN que vous transmettez aux appareils mobiles
Après avoir restauré une appliance EPMM compromise à partir de sauvegardes propres, les clients doivent réinitialiser le mot de passe de tous les comptes EPMM locaux, réinitialiser le mot de passe de tous les comptes de service LDAP et/ou KDC utilisés pour effectuer des recherches, révoquer et remplacer le certificat public utilisé sur le déploiement EPMM et réinitialiser le mot de passe de tout autre compte de service interne ou externe configuré sur la solution EPMM.
Étant donné qu’EPMM exécute des commandes sur Sentry et que Sentry est un produit qui achemine le trafic des appareils mobiles vers les systèmes de réseau internes, les systèmes auxquels Sentry peut accéder doivent également être examinés pour détecter tout signe de compromission.
