Source: BleepingComputer — Ivanti a divulgué deux failles critiques dans Endpoint Manager Mobile (EPMM), CVE‑2026‑1281 et CVE‑2026‑1340, exploitées comme zero‑days, et a publié des mesures de mitigation.

  • ⚠️ Nature de la menace: deux vulnérabilités d’injection de code permettant une exécution de code à distance (RCE) sans authentification sur les appliances EPMM. Les deux CVE sont notées CVSS 9.8 (critique). Ivanti signale un nombre très limité de clients touchés au moment de la divulgation.

  • Produits et correctifs: les failles concernent Ivanti EPMM. Ivanti fournit des scripts RPM de mitigation sans interruption de service ni impact fonctionnel:
    • Utiliser RPM 12.x.0.x pour EPMM 12.5.0.x, 12.6.0.x, 12.7.0.x
    • Utiliser RPM 12.x.1.x pour EPMM 12.5.1.0, 12.6.1.0
    Note: ces hotfix ne survivent pas à une mise à niveau de version et doivent être réappliqués jusqu’au correctif permanent attendu en EPMM 12.8.0.0 (prévu fin T1 2026).

  • Impact potentiel: une exploitation réussie donne accès à des informations sensibles stockées dans EPMM: comptes administrateurs et utilisateurs, noms d’utilisateur, adresses e‑mail, données sur les terminaux mobiles gérés (numéros de téléphone, adresses IP, applications installées, IMEI, adresses MAC). Si le suivi est activé, des données de localisation (coordonnées GPS, cellules voisines) peuvent aussi être exposées. Les attaquants peuvent utiliser l’API ou la console web EPMM pour modifier des configurations, y compris les paramètres d’authentification.

  • Détection et réponse: Ivanti publie des indications techniques pour repérer l’exploitation via les fonctionnalités In‑House Application Distribution et Android File Transfer Configuration, avec des traces dans le journal Apache: /var/log/httpd/https-access_log. Les tentatives abouties ou non renvoient HTTP 404 (au lieu de 200 pour les requêtes légitimes). Ivanti fournit l’expression régulière suivante pour identifier des requêtes suspectes externes vers des endpoints vulnérables:
    ^(?!127.0.0.1:\d+ .$).?/mifs/c/(aft|app)store/fob/.*?404
    Ivanti avertit qu’après compromission, les attaquants peuvent modifier/supprimer les logs; il convient alors d’examiner des journaux hors‑appliance. En cas de suspicion, Ivanti ne recommande pas de « nettoyer » l’appliance mais de restaurer depuis une sauvegarde saine antérieure à l’exploitation ou de reconstruire et migrer les données. Après restauration, Ivanti suggère:
    • Réinitialiser les mots de passe des comptes locaux EPMM
    • Réinitialiser les mots de passe des comptes LDAP/KDC utilisés pour les lookups
    Révoquer et remplacer le certificat public d’EPMM
    • Réinitialiser les mots de passe d’autres comptes de service internes/externes configurés
    Ivanti recommande aussi de vérifier les logs Sentry et, si EPMM est impacté, de revoir les systèmes accessibles via Sentry pour de possibles activités de reconnaissance ou mouvements latéraux.

  • Contexte réglementaire: la CISA a ajouté CVE‑2026‑1281 à son catalogue KEV, confirmant une exploitation active, et impose aux agences fédérales civiles une échéance au 1er février 2026 pour appliquer les mitigations ou cesser d’utiliser les systèmes vulnérables (BOD 22‑01). Il n’est pas clair pourquoi CVE‑2026‑1340 n’a pas été ajouté au KEV. BleepingComputer rappelle que d’autres zero‑days EPMM avaient déjà été exploités auparavant (corrigés en mai 2025), avec une analyse de kits malveillants publiée par la CISA en septembre.

Type d’article: alerte de sécurité visant à informer sur des vulnérabilités critiques activement exploitées, les impacts, les indicateurs de détection et les mitigations temporaires.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/