📰 Contexte
Source : BleepingComputer, publié le 7 mai 2026 par Sergiu Gatlan. Ivanti a émis une alerte de sécurité concernant une vulnérabilité zero-day activement exploitée dans son produit Endpoint Manager Mobile (EPMM).
🔍 Vulnérabilité principale
CVE-2026-6973 est une faille de type Improper Input Validation permettant à un attaquant distant disposant de privilèges administratifs d’exécuter du code arbitraire sur les systèmes ciblés. Elle affecte EPMM version 12.8.0.0 et antérieures.
- Type : Remote Code Execution (RCE)
- Sévérité : Haute
- Prérequis : authentification admin
- Exploitation confirmée : oui, dans un nombre très limité de cas
- Périmètre : uniquement le produit on-premises EPMM (pas Ivanti Neurons for MDM, Ivanti EPM, Ivanti Sentry)
🛡️ Correctifs disponibles
Ivanti recommande l’installation des versions suivantes :
- EPMM 12.6.1.1
- EPMM 12.7.0.1
- EPMM 12.8.0.1
Ivanti conseille également de revoir les comptes avec droits Admin et de faire une rotation des credentials.
🔗 Autres CVE corrigées simultanément (non exploitées)
| CVE | Impact |
|---|---|
| CVE-2026-5786 | Gain d’accès admin |
| CVE-2026-5787 | Usurpation d’hôtes Sentry enregistrés pour obtenir des certificats CA |
| CVE-2026-5788 | Invocation de méthodes arbitraires |
| CVE-2026-7821 | Accès à des informations restreintes (sans privilèges, Apple Device Enrollment uniquement) |
🌍 Exposition et contexte géographique
Selon Shadowserver, plus de 850 adresses IP avec des empreintes EPMM sont exposées en ligne :
- Europe : 508
- Amérique du Nord : 182
📅 Historique des exploitations EPMM
- Janvier 2026 : deux vulnérabilités RCE critiques (CVE-2026-1281 et CVE-2026-1340) exploitées en zero-day
- Avril 2026 : la CISA a ordonné aux agences fédérales américaines de corriger CVE-2026-1340 sous 4 jours
- Ivanti EPMM a été ciblé dans des attaques passées visant des agences gouvernementales mondiales, notamment par des acteurs liés à la Chine
- La CISA a référencé 33 vulnérabilités Ivanti comme exploitées dans la nature, dont 12 utilisées par des opérations ransomware
📌 Nature de l’article
Article de type alerte de sécurité / patch de sécurité, dont le but principal est d’informer les clients Ivanti EPMM de l’existence d’une exploitation active et des mesures correctives disponibles.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1059 — Command and Scripting Interpreter (Execution)
- T1078 — Valid Accounts (Defense Evasion)
IOC
- CVEs :
CVE-2026-6973— NVD · CIRCL - CVEs :
CVE-2026-5786— NVD · CIRCL - CVEs :
CVE-2026-5787— NVD · CIRCL - CVEs :
CVE-2026-5788— NVD · CIRCL - CVEs :
CVE-2026-7821— NVD · CIRCL - CVEs :
CVE-2026-1281— NVD · CIRCL - CVEs :
CVE-2026-1340— NVD · CIRCL
🟢 Indice de vérification factuelle : 70/100 (haute)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 11732 chars — texte complet (fulltext extrait) (15pts)
- ✅ 7 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/5 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-epmm-flaw-exploited-in-zero-day-attacks/