Ivanti corrige deux failles critiques exploitées dans EPMM

Des correctifs de sécurité ont été publiés par Ivanti pour son produit Endpoint Manager Mobile (EPMM) pour combler deux dernières failles d'exécution de code à distance déjà exploitées dans la nature. « Nous avons connaissance d'un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation », a déclaré l’entreprise dans un bulletin de sécurité. Selon le fournisseur, il s’agit de vulnérabilités par injection de code qui peuvent être exploitées sans authentification. Référencées CVE-2026-1281 et CVE-2026-1340 et affectées d’un score de gravité CVSS de 9,8 sur 10, elles concernent la fonctionnalité de distribution d'applications internes et la fonctionnalité de configuration de transfert de fichiers Android Android File Transfer Configuration d'EPMM.

Des correctifs autonomes à appliquer

Ivanti n'a pas publié de nouvelles versions entièrement corrigées d'EPMM, mais plutôt des correctifs autonomes spécifiques à chaque version qui doivent être appliqués manuellement. Les patchs sont fournis sous forme de fichiers rpm et peuvent être installés à l'aide de la commande install rpm url [patch_url]. Le correctif RPM_12.x.0.x est applicable aux versions 12.5.0.x, 12.6.0.x et 12.7.0.x du logiciel EPMM. Il est également compatible avec les anciennes versions 12.3.0.x et 12.4.0.x. Le correctif RPM_12.x.1.x est quant à lui applicable aux versions 12.5.1.0 et 12.6.1.0. « Le script RPM ne survit pas à une mise à niveau de version », prévient le fournisseur. « Si, après avoir appliqué le script RPM à votre appareil, vous effectuez une mise à niveau vers une nouvelle version, vous devrez réinstaller le RPM. La correction permanente de cette vulnérabilité sera incluse dans la prochaine version 12.8.0.0 du produit. »

Bien que le produit Sentry Gateway, qui sécurise le trafic entre les appareils mobiles et les systèmes d'entreprise back-end, ne soit pas directement affecté par ces vulnérabilités, les appareils EPMM disposent d'une autorisation d'exécution de commandes sur les passerelles Sentry. C’est pourquoi, si un déploiement EPMM a été compromis, les attaquants pourraient également avoir compromis Sentry. Les chercheurs de l’entreprise de tests de pénétration WatchTowr ont procédé à une ingénierie inverse des correctifs et ont pu déterminer où se trouvaient les vulnérabilités et comment les exploiter. Un compte rendu détaillé est disponible sur le blog de l’entreprise.

Détection et correction des exploits

Dans un document distinct, l'éditeur fournit des conseils sur la manière d'analyser les appliances EPMM afin de détecter toute compromission potentielle due à ces vulnérabilités. Tout d'abord, le journal d'accès Apache Access Log situé dans /var/log/httpd/https-access_log pourrait contenir des preuves de tentatives ou d'exécutions réussies de ces vulnérabilités. Le fournisseur recommande de trier les journaux à l'aide de l'expression régulière ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404 et de rechercher les codes de réponse d'erreur HTTP 404 ainsi que les requêtes GET avec des paramètres contenant des commandes bash. « Le plus courant est l’ajout ou la modification de fichiers malveillants afin d'introduire des capacités de shell web », a expliqué la société. « Ivanti a souvent constaté que ces modifications ciblaient les pages d'erreur HTTP, telles que 401.jsp. Toute requête vers ces pages avec des méthodes POST ou avec des paramètres doit être considérée comme hautement suspecte. Les analystes qui effectuent une inspection forensique du disque doivent également vérifier si des fichiers WAR ou JAR inattendus ont été introduits dans le système. »

Il convient de noter que les attaquants suppriment régulièrement les journaux pour effacer leurs traces et que, sur les systèmes à forte utilisation, les journaux peuvent être renouvelés plusieurs fois par jour. C'est pourquoi il est fortement recommandé aux clients d'utiliser les fonctionnalités d'exportation de données pour transférer les journaux de l'appareil EPMM vers leur système SIEM ou d'autres agrégateurs de journaux.

Pour tout système susceptible d'être affecté, Ivanti recommande de vérifier les éléments suivants :

- Les administrateurs EPMM des nouveaux administrateurs ou récemment modifiés ;

- La configuration de l'authentification, y compris les paramètres SSO et LDAP ;

- Les nouvelles applications poussées pour les terminaux mobiles ;

- Les modifications de configuration des applications poussées vers les appareils, y compris les applications internes ;

- Les nouvelles politiques ou les politiques modifiées récemment ;

- Les modifications de la configuration du réseau, y compris toute configuration réseau ou VPN transmises aux terminaux mobiles.

Après avoir restauré un appareil EPMM compromis à partir de sauvegardes propres, les clients doivent réinitialiser le mot de passe de tous les comptes EPMM locaux, réinitialiser le mot de passe de tous les comptes de service LDAP et/ou KDC utilisés pour effectuer des recherches, révoquer et remplacer le certificat public utilisé sur le déploiement EPMM et réinitialiser le mot de passe de tous les autres comptes de service internes ou externes configurés sur cette solution. Étant donné que celle-ci exécute des commandes sur Sentry qui est un produit qui achemine le trafic des appareils mobiles vers les systèmes réseau internes, les terminaux auxquels il peut accéder doivent également être examinés afin de détecter tout signe de compromission.