Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immédiat des failles à la liste KEV de la CISA.

  • ⚠️ Problématique: deux RCE pré-auth activement exploitées dans Ivanti EPMM. Ivanti a diffusé des RPM de mitigation temporaires (à réappliquer après changements) en attendant la version 12.8.0.0 prévue en T1 2026. Aucun binaire EPMM n’est encore « corrigé »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache.

  • 🔧 Contexte technique: EPMM utilise Apache HTTPd RewriteMap pour diriger des requêtes vers des scripts Bash (/mi/bin/map-appstore-url, /mi/bin/map-aft-store-url). Les RPM patchent la config pour appeler des classes Java (AppStoreUrlMapper, AFTUrlMapper) via java -cp /mi/bin, supprimant l’usage direct des scripts Bash. Le vecteur relevé est un endpoint HTTP non authentifié qui transmet des paramètres contrôlés par l’attaquant aux scripts via RewriteMap.

  • 🧩 Chaîne d’exploitation: watchTowr montre que l’entrée utilisateur, après parsing clé=valeur, aboutit à une comparaison arithmétique où une variable (gStartTime) référence indirectement une autre (theValue). En Bash, l’expansion arithmétique combinée à une substitution de commande dans un index de type tableau permet l’exécution de commandes. Cette primitive mène à une RCE pré-auth via des valeurs fournies dans les paramètres (notamment st et h), l’endpoint concaténant également l’en-tête Host et le chemin dans l’entrée du script.

  • 🧪 Preuve: le billet fournit une requête de démonstration écrivant un artefact local (preuve d’exécution) dans /mi/, confirmant la viabilité de l’attaque, et explique les contraintes de validation (ex. longueur de timestamp) contournées par mise en forme de la valeur.

  • 📌 Statut et portée: Ivanti distribue des RPM de mitigation (qualifiés de « patches-with-commitment-issues ») et prévoit une correction logicielle en 12.8.0.0. Les vulnérabilités ont été ajoutées à la KEV de la CISA, et le billet souligne une exploitation active. Il s’agit d’une publication de recherche visant à documenter la chaîne d’exploitation et les changements de configuration/mitigations.

IOC / Artefacts:

  • CVE: CVE-2026-1281, CVE-2026-1340
  • Paquets RPM temporaires: ivanti-security-update-1761642-1.0.0L-5.noarch.rpm, ivanti-security-update-1761642-1.0.0S-5.noarch.rpm
  • Fichiers/chemins: /mi/bin/map-appstore-url, /mi/bin/map-aft-store-url, /mi/bin/AppStoreUrlMapper.class, /mi/bin/AFTUrlMapper.class
  • Classes Java: AppStoreUrlMapper, AFTUrlMapper
  • Motifs d’endpoint: /mifs/c/appstore/fob/3/{id}/sha256:{paramètres}/{GUID}.ipa
  • Host d’exemple dans le billet: f5-research-lab-ioc-block-it-all.f5 (exemple de labo)

TTPs:

  • Exécution de code à distance (pré-auth) via entrée non authentifiée sur un endpoint HTTP
  • Abus d’Apache RewriteMap (prg:) pour invoquer un programme externe
  • Injection/évaluation involontaire Bash par expansion arithmétique et substitution de commande dans un index de variable
  • Passage de chaînes contrôlées par l’attaquant (paramètres + Host + chemin) aux scripts système

Conclusion: publication de recherche technique détaillant la vulnérabilité, sa cause racine et les mitigations temporaires.

🧠 TTPs et IOCs détectés

TTP

Exécution de code à distance (pré-auth) via entrée non authentifiée sur un endpoint HTTP; Abus d’Apache RewriteMap (prg:) pour invoquer un programme externe; Injection/évaluation involontaire Bash par expansion arithmétique et substitution de commande dans un index de variable; Passage de chaînes contrôlées par l’attaquant (paramètres + Host + chemin) aux scripts système

IOC

CVE-2026-1281, CVE-2026-1340; Paquets RPM temporaires: ivanti-security-update-1761642-1.0.0L-5.noarch.rpm, ivanti-security-update-1761642-1.0.0S-5.noarch.rpm; Fichiers/chemins: /mi/bin/map-appstore-url, /mi/bin/map-aft-store-url, /mi/bin/AppStoreUrlMapper.class, /mi/bin/AFTUrlMapper.class; Motifs d’endpoint: /mifs/c/appstore/fob/3/{id}/sha256:{paramètres}/{GUID}.ipa; Host d’exemple dans le billet: f5-research-lab-ioc-block-it-all.f5

🔗 Source originale : https://labs.watchtowr.com/someone-knows-bash-far-too-well-and-we-love-it-ivanti-epmm-pre-auth-rces-cve-2026-1281-cve-2026-1340/