Après les VPN, c’est au tour d’Endpoint Manager Mobile d’Ivani d’être la cible de pirates en exploitant deux failles critiques. A travers les CVE-2026-1281 et CVE-2026-1340, les cybercriminels peuvent « exécuter du code arbitraire sur les serveurs cibles, leur accordant ainsi le contrôle total de l'infrastructure de gestion des terminaux mobiles (MDM) sans nécessiter l'interaction ou les identifiants des utilisateurs », explique l’Unité 42 de Palo Alto Networks dans un bulletin de sécurité.
Anciennement connu sous le nom de MobileIron Core, l’offre d’Ivanti est une plateforme de gestion des appareils mobiles que les entreprises utilisent pour administrer et appliquer les politiques de sécurité sur les terminaux mobiles (smartphones, PC portables, tablettes,…) des employés. L’outil d’analyse des menaces, Cortex Xpanse de Palo Alto Networks a détecté plus de 4 400 instances du MDM d’Ivanti actuellement exposées sur Internet. « La compromission de la plateforme donne aux attaquants la capacité d'accéder aux politiques de sécurité, aux identifiants et aux métadonnées des terminaux de l'ensemble du parc mobile d'une entreprise », a mis en garde les chercheurs. Les deux vulnérabilités, dont le score CVSS est de 9,8, permettent à des pirates non authentifiés d'exécuter des commandes arbitraires sur les serveurs EPMM exposés sans aucune interaction de l'utilisateur ni identifiants valides.
De l'analyse à la porte dérobée
Fin janvier, Ivanti avait reconnu les attaques au moment de la publication des correctifs d'urgence, tout en estimant l'impact initial comme limité. « Nous avons connaissance d'un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation », a déclaré l’entreprise dans son avis de sécurité. Selon Unit 42, ces deux vulnérabilités proviennent d'une gestion non sécurisée des scripts Bash dans les configurations héritées des serveurs web Apache. La CVE-2026-1281 cible la fonctionnalité de distribution d'applications en interne et la CVE-2026-1340 exploite la même classe de failles via un script distinct gérant le mécanisme de transfert de fichiers Android. « Même si la cause profonde est identique, elles résident dans deux scripts distincts gérant des fonctionnalités différentes », explique l'avis.
Les chercheurs expliquent que les acteurs malveillants passent rapidement de l'analyse automatisée à l'accès initial, avant une escalade rapide pour déployer des portes dérobées persistantes conçues pour survivre aux cycles de correction. Après avoir obtenu un accès initial, les pirates ont immédiatement tenté de télécharger et d'exécuter une charge utile. « Cette deuxième étape consiste généralement à installer un shell web, un cryptomineur ou une porte dérobée persistante afin de permettre au pirate de prendre le contrôle du terminal », indique l'avis. Ils précisent également que les attaquants ont déployé l'agent de surveillance open source Nezha pour maintenir une visibilité sur les systèmes compromis. « Ils ont ciblé les secteurs des administrations publiques locales et régionales, de la santé, de l'industrie manufacturière, des services IT aux États-Unis, en Allemagne, en Australie et au Canada », précise l'avis. Unit 42 ajoute encore que le code d'exploitation de preuve de concept pour les deux CVE est déjà accessible publiquement, ce qui rend probable une exploitation à plus grande échelle à mesure que davantage d'acteurs malveillants adoptent des exploits fonctionnels.
Vérifier d’abord, corriger ensuite
La division de Palo Alto Networks redirige les entreprises vers l'avis de sécurité d'Ivanti pour obtenir des conseils de correction. Celui-ci recommande d'appliquer des correctifs RPM spécifiques à la version pour les branches EPMM 12.x qui ne nécessitent aucun temps d'arrêt. Ivanti prévient cependant que le correctif ne survit pas à une mise à niveau de version et doit être réinstallé si le logiciel est mis à jour. « La correction permanente de cette vulnérabilité sera incluse dans la prochaine version du produit 12.8.0.0, prévue au premier trimestre 2026. »
Ivanti a également averti dans son avis que, même si sa passerelle de trafic mobile Sentry n’est pas directement vulnérable, Endpoint Manager Mobile détient des autorisations d'exécution de commandes sur les systèmes Sentry connectés. « Si un déploiement EPMM a été corrompu, les attaquants pourraient par ailleurs avoir compromis Ivanti Sentry », a averti Ivanti. Pour les entreprises qui soupçonnent une compromission, Ivanti déconseille dans son avis de tenter de nettoyer les systèmes affectés. L’avis conseille plutôt de restaurer à partir d'une sauvegarde connue pour être fiable ou d'effectuer une reconstruction complète, suivie d'une réinitialisation complète de tous les mots de passe de compte, identifiants de service et certificats publics.
Un schéma familier
Le ciblage d'EPMM suit un schéma sans doute familier des clients d'Ivanti. En effet, le produit a déjà été exploité à grande échelle : en 2023, des attaquants soutenus par un État ont utilisé des zero day EPMM pour s'introduire dans les réseaux du gouvernement norvégien, et d'autres failles ont été exploitées l'année dernière. Le produit Connect Secure VPN d'Ivanti a connu des problèmes similaires, des groupes APT chinois ayant exploité des vulnérabilités zero day dans le cadre de campagnes successives qui ont finalement conduit le gouvernement américain à ordonner aux agences fédérales de déconnecter complètement les produits VPN d'Ivanti en février 2024.
Commentaire