Selon le NCSC (Pays-Bas), une mise à jour de son avertissement confirme un misusage actif d’une vulnérabilité zero-day (CVE-2026-1281) affectant Ivanti Endpoint Manager Mobile (EPMM, ex‑MobileIron). L’organisme appelle toutes les entités utilisatrices à se signaler auprès de lui et à adopter un scénario d’assume-breach, même si un correctif a déjà été appliqué.

Le NCSC précise qu’il existe deux vulnérabilités dans EPMM, et que CVE-2026-1281 a été activement exploitée avant la publication des correctifs. Des acteurs non authentifiés peuvent réaliser une exécution de code arbitraire (RCE) sur les systèmes vulnérables, obtenir une persistance, voler des données ou prendre le contrôle de l’équipement.

Bien qu’Ivanti ait publié des mises à jour corrigeant les deux failles, le NCSC indique que mettre à jour ne suffit pas si le système a déjà été compromis. Les attaquants peuvent avoir installé une porte dérobée et supprimé des traces, rendant la compromission difficile à détecter. Les organisations doivent donc partir du principe que le système était compromis avant le patch.

Mesures recommandées par le NCSC:

  • Appliquer les mises à jour EPMM au plus vite.
  • Contacter le NCSC via cert@ncsc.nl en précisant la date de patch, la version, et les actions/constats déjà réalisés.
  • Changer tous les mots de passe des comptes présents sur le système.
  • Renouveler les clés privées utilisées sur le système.
  • Surveiller le trafic interne sortant du système pour détecter d’éventuels mouvements latéraux.
  • Consulter la page d’orientation « assume-breach » du NCSC: https://www.ncsc.nl/assume-breach

TTPs mentionnés:

  • Exploitation zero-day avant correctif.
  • RCE non authentifiée sur EPMM.
  • Persistance et possible porte dérobée.
  • Effacement de traces post-compromission.
  • Mouvements latéraux à partir du système compromis.

Il s’agit d’une alerte de sécurité officielle visant à informer et orienter les organisations utilisatrices d’Ivanti EPMM face à une exploitation active en cours.

🔗 Source originale : https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager