Les vulnérabilités situées dans des bibliothèques d’open source tierces ont un impact sur l’appliance de gestion des appareils mobiles d’Ivanti et peuvent conduire à une exécution de code distante non authentifiée.
La société de logiciels informatique Ivanti a publié des correctifs d’urgence pour sa solution de gestion des appareils mobiles en entreprise (MDM) après avoir appris des attaques dans les voies exploitant deux vulnérabilités auparavant inconnues. Les deux défauts ont une gravité modérée et élevée, mais lorsqu’ils sont combinés dans une chaîne d’exploitation, ils permettent l’exécution de code distant non authentifié sur Ivanti Endpoint Manager Mobile (EPMM).
« Nous sommes conscients d’un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation », a écrit la société dans son avis, créditant le certificat de la Commission européenne pour signaler les défauts. Le Centre de cybersécurité du gouvernement australien (ACSC) a également publié un avis essentiel destiné aux grandes entreprises, organisations et agences gouvernementales.
Ivanti a publié les versions EPMM 11.12.0.5, 12.3.0.2, 12.4.0.2 et 12.5.0.1, qui incluent des correctifs pour les deux vulnérabilités qui sont suivies sous le nom de CVE-2025-4427 et CVE-2025-4428.
Défauts dans des composants tiers
Ivanti note que les vulnérabilités sont situées dans deux bibliothèques open source utilisées dans le produit. Parce que les défauts n’ont pas encore été annoncés dans les bibliothèques elles-mêmes, l’entreprise a décidé de ne pas les nommer pour l’instant mais travaille avec leurs responsables.
L’un des défauts, CVE-2025-4428, est un problème d’exécution de code arbitraire, mais parce qu’il nécessite une authentification pour exploiter, il n’a qu’un score de 7,2 (gravité élevée) sur l’échelle CVSS. L’autre vulnérabilité est un contournement d’authentification qui fournit aux attaquants non authentifiés un accès aux ressources protégées et n’est évalué que comme une gravité moyenne avec un score de 5,3.
Cependant, le contournement de l’authentification est exactement ce qui est nécessaire pour transformer l’impact du premier défaut du haut à critique, car il permet son exploitation sans authentification, supprimant le seul facteur limitant. Ceci est un bon exemple de la raison pour laquelle les scores de gravité ne devraient pas être les seuls critères pour hiérarchiser les patchs, mais certains défauts de gravité inférieurs peuvent être combinés pour obtenir des attaques beaucoup plus puissantes.
Atténuation
Si la mise à niveau vers les versions correctes n’est pas possible tout de suite, Ivanti note que le filtrage de l’accès à l’API à l’aide de la fonctionnalité ACLS portale intégrée ou d’un WAF externe peut atténuer les attaques.
« Bien qu’il s’agisse d’une atténuation efficace, cela pourrait avoir un impact sur la fonctionnalité de votre solution en fonction de vos configurations spécifiques », a déclaré la société. «En particulier, les intégrations où les IP sont difficiles à déterminer ou à modifier seront souvent affectés, tels que: les enregistrements de périphérique Windows à l’aide de la conformité des appareils Autopilot ou Microsoft et des intégrations API graphiques.»
L’utilisation de la fonctionnalité ACLS au lieu de Portal ACLS n’est pas recommandée car elle bloque tout accès par des plages IP réseau, au lieu d’accès à une fonctionnalité spécifique.
Les clients sur des versions plus anciennes peuvent obtenir et déployer manuellement un fichier RPM comme correction de la ligne de commande en mode privilégié. Mais la société avertit qu’elle n’a pas été testée sur des versions plus anciennes et non soutenues et conseille à ces clients de passer à une version logicielle prise en charge dès que possible.
Ivanti Sentry, une passerelle qui gère, chiffre et sécurise le trafic entre les appareils mobiles et les systèmes d’entreprise back-end n’est pas directement affecté par ces vulnérabilités. Parce qu’il dépend de l’appliance EPMM et de sa configuration, cependant, sa sécurité doit également être vérifiée.
Ivanti n’a actuellement pas d’indicateurs de compromis à partager qui pourraient aider les clients à déterminer si un exploit s’est produit sur leurs appareils.
