L’unité 42 de Palo Alto Networks indique que deux failles critiques sont activement exploitées pour obtenir un accès non authentifié, déployer des portes dérobées persistantes et compromettre des flottes mobiles entières d’entreprise, même après l’application des correctifs.
Les attaquants exploitent activement deux vulnérabilités critiques Zero Day dans Endpoint Manager Mobile (EPMM) d’Ivanti pour obtenir un contrôle non authentifié de l’infrastructure de gestion des appareils mobiles de l’entreprise et installer des portes dérobées conçues pour persister même après que les organisations ont appliqué les correctifs disponibles.
« Deux vulnérabilités critiques de type Zero Day (CVE-2026-1281 et CVE-2026-1340) affectant Ivanti Endpoint Manager Mobile (EPMM) sont activement exploitées dans la nature, affectant les flottes mobiles et les réseaux d’entreprise », a déclaré l’équipe de recherche sur les menaces Unit 42 de Palo Alto Networks dans un avis. « Ces vulnérabilités permettent à des attaquants non authentifiés d’exécuter à distance du code arbitraire sur les serveurs cibles, leur accordant ainsi un contrôle total sur l’infrastructure de gestion des appareils mobiles (MDM) sans nécessiter d’interaction ou d’informations d’identification de l’utilisateur. »
EPMM, anciennement connu sous le nom de MobileIron Core, est une plateforme de gestion des appareils mobiles que les entreprises utilisent pour gérer et appliquer les politiques de sécurité sur les smartphones et tablettes des employés.
Cortex Xpanse, la plateforme de gestion des surfaces d’attaque de Palo Alto Networks, a trouvé plus de 4 400 instances EPMM actuellement exposées sur l’Internet public. La compromission de la plate-forme permet aux attaquants d’accéder aux politiques des appareils, aux informations d’identification et aux métadonnées de l’ensemble du parc mobile d’une organisation, a prévenu Unit 42 dans l’avis.
Les deux vulnérabilités ont un score CVSS de 9,8 et permettent à des attaquants non authentifiés d’exécuter des commandes arbitraires sur des serveurs EPMM exposés sans aucune interaction de l’utilisateur ni informations d’identification valides.
Ivanti a reconnu les attaques lorsqu’il a publié des correctifs d’urgence fin janvier, mais a décrit l’impact initial comme limité. « Nous connaissons un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation », a indiqué la société dans son avis de sécurité.
Les deux vulnérabilités proviennent d’une gestion non sécurisée des scripts Bash dans les anciennes configurations de serveur Web Apache, selon l’unité 42. CVE-2026-1281 cible la fonctionnalité de distribution d’applications internes ; CVE-2026-1340 exploite la même classe de failles via un script distinct gérant le mécanisme de transfert de fichiers Android. « Bien que la cause première soit la même, ils résident dans deux scripts distincts gérant des fonctionnalités différentes », explique l’avis.
Du scan à la porte dérobée
L’unité 42 a documenté que les acteurs de la menace passaient rapidement de l’analyse automatisée à l’accès initial, puis évoluaient rapidement pour déployer des portes dérobées persistantes conçues pour durer plus longtemps que les cycles de correctifs.
Après avoir obtenu un premier accès, les attaquants ont immédiatement tenté de télécharger et d’exécuter une charge utile de deuxième étape. « Cette deuxième étape installe généralement un shell Web, un cryptomineur ou une porte dérobée persistante pour accorder à l’attaquant le contrôle de l’appliance », indique l’avis.
L’unité 42 a également déclaré que les attaquants avaient déployé l’agent de surveillance open source Nezha pour maintenir la visibilité sur les systèmes compromis.
Les attaquants ont ciblé des secteurs tels que les gouvernements étatiques et locaux, les soins de santé, l’industrie manufacturière, les services professionnels et la haute technologie aux États-Unis, en Allemagne, en Australie et au Canada, ajoute l’avis.
L’unité 42 a également averti que le code d’exploitation de preuve de concept pour les deux CVE est déjà accessible au public, ce qui rend probable une exploitation plus large à mesure que davantage d’acteurs malveillants adoptent des exploits fonctionnels.
Corrigez, mais vérifiez d’abord
L’unité 42 a dirigé les organisations vers l’avis de sécurité d’Ivanti pour obtenir des conseils de correction, qui recommandent d’appliquer des correctifs RPM spécifiques à la version pour les branches EPMM 12.x qui ne nécessitent aucun temps d’arrêt de l’appliance. Ivanti a toutefois averti que le correctif ne survit pas à une mise à niveau de version et doit être réinstallé si le logiciel est mis à jour. « Le correctif permanent pour cette vulnérabilité sera inclus dans la prochaine version du produit : 12.8.0.0 attendue au premier trimestre 2026. »
Ivanti a également averti dans son avis que même si sa passerelle de trafic mobile Sentry n’est pas directement vulnérable, EPMM détient des autorisations d’exécution de commandes sur les systèmes Sentry connectés. « Si un déploiement EPMM a été compromis, les attaquants pourraient également avoir compromis Ivanti Sentry », a averti Ivanti.
Pour les organisations qui soupçonnent une compromission, l’avis d’Ivanti suggère de ne pas tenter de nettoyer les systèmes concernés. Au lieu de cela, il a recommandé de restaurer à partir d’une sauvegarde connue ou d’effectuer une reconstruction complète, suivie d’une réinitialisation complète de tous les mots de passe de compte, des informations d’identification du service et des certificats publics. Le code d’exploitation de preuve de concept étant déjà publiquement disponible pour les deux CVE, une exploitation plus large est attendue à mesure que davantage d’acteurs malveillants adoptent des exploits fonctionnels.
Un modèle familier
Le ciblage d’EPMM suit un modèle familier aux clients Ivanti. Le produit a déjà été exploité à grande échelle : en 2023, des attaquants parrainés par l’État ont utilisé les zéros jours de l’EPMM pour pénétrer dans les réseaux du gouvernement norvégien, et des failles distinctes ont de nouveau été exploitées dans la nature l’année dernière.
Le produit Connect Secure VPN d’Ivanti a connu un bilan tout aussi troublé, avec des groupes APT chinois exploitant le Zero Day dans des campagnes consécutives qui ont finalement conduit le gouvernement américain à ordonner aux agences fédérales de déconnecter complètement les produits Ivanti VPN en février 2024.
