Ivanti a émis un avertissement urgent et des correctifs pour une vulnérabilité d'exécution à distance de code haute gravité dans son produit Endpoint Manager Mobile (EPMM) sur site, enregistré comme CVE-2026-6973. Selon la note de la société, l'échec est le résultat d'une validation incorrecte de l'entrée qui permet à un attaquant avec des pouvoirs administratifs d'exécuter le code arbitraire dans la version des installations EPMM 12.8.0.0 et plus, et l'exploitation a déjà été détectée dans des attaques de zéro jour, bien que Ivanti parle d'utilisation très limitée dans la nature.
Ivanti publie les versions qui corrigent le problème: EPMM 12.6.1.1, 12.7.0.1 et 12.8.0.1 et recommande en outre d ' examiner et d ' alterner les pouvoirs avec les privilèges administratifs. La mise à jour n'affecte que le produit sur site EPMM et, selon l'entreprise, C'est pas vrai. est présent dans Ivanti Neurons pour MDM (solution nuageuse), ou dans d'autres produits tels que Ivanti EPM ou Ivanti Sentry. La version officielle contient les détails et les liens à télécharger et à atténuer: https: / / www.ivanti.com / blog / may-2026-epmm-security-update.
Le paysage opérationnel exacerbe l'urgence : suivre des projets comme Shadowserver détecte plus que 850 adresses IP publiques avec des tirages Ivanti EPMM exposés sur Internet, concentrés principalement en Europe et en Amérique du Nord. Il n'y a pas de visibilité publique fiable du nombre de ces organismes ayant déjà appliqué des correctifs, il est donc raisonnable de supposer qu'une proportion importante de ces organismes demeure vulnérable. La carte de détection en temps réel est disponible sur le panneau Shadowserver : https: / / tableau de bord.Shadowserver.org /....
Ce patch est publié avec des corrections pour quatre autres vulnérabilités à haute gravité dans EPMM (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 et CVE-2026-7821) qui, dans différents scénarios, permettent de l'acquisition de privilèges administratifs au remplacement des hôtes Sentry et l'accès à des informations restreintes. Ivanti n'a pas trouvé de preuve publique de l'exploitation de ces autres échecs, bien qu'il avertisse que CVE-2026-7821 peut être exploité sans privilèges dans les environnements avec Apple Device Enrollment configuré.
L'histoire récente ajoute un contexte: Ivanti avait déjà corrigé en janvier deux autres vulnérabilités critiques dans EPMM (CVE-2026-1281 et CVE-2026-1340) utilisées dans des attaques ciblées contre un nombre limité de clients, ainsi que l'Agence américaine d'infrastructure et de cybersécurité. USA (CISA) a inclus plusieurs échecs Ivanti dans son catalogue de vulnérabilités exploitées dans la nature. La CISA tient un registre des vulnérabilités exploitées connues qui comprend de nombreux VHC associés à Ivanti : https: / / www.cisa.gov / knowledge-exploited-vulnerabilities-catalog.
Ce que les équipes de sécurité devraient faire maintenant : prioriser l'installation immédiate des correctifs indiqué par Ivanti dans toute EPMM sur site affectée et vérifier les versions après la mise à jour. Si, pour des raisons opérationnelles, il n'est pas possible de se garer immédiatement, appliquez des mesures d'atténuation temporaires telles que le blocage de l'accès externe au port de gestion du serveur EPMM depuis Internet et la restriction de l'accès à la gestion par le biais de listes de contrôle d'accès (ACL) et de VPN d'administration. Examiner et faire pivoter les pouvoirs administratifs, permettre l'authentification multifactorielle dans la mesure du possible et limiter les privilèges administratifs aux comptes d'utilisation éphémère.
La détection et la chasse des intrus devraient se concentrer sur plusieurs fronts : recherche de preuves de création ou d'utilisation de comptes administratifs anormaux, examen du registre de gestion pour des exécutions inhabituelles de commandement ou d'accusation, audition de certificats et d'hôtes enregistrés de Sentry, et vérification de l'intégrité des binaires et des configurations. Si votre organisation a été touchée par les vulnérabilités de janvier et qu'elle a suivi la recommandation de rotation des titres de compétence, cela réduira le risque par rapport à la CVE-2026-6973, comme le souligne Ivanti.
Au-delà de la solution immédiate, les organisations devraient repenser leur position d'exposition : éviter d'exposer des consoles de gestion à Internet, segmenter les réseaux de gestion, appliquer des contrôles d'accès fondés sur l'identité et un privilège minimum, et renforcer les processus de gestion des patchs et les tests de régression afin de réduire la fenêtre d'exposition aux futurs zéros jours. Compte tenu de la migration vers des solutions ou des architectures gérées par le cloud, des contrôles supplémentaires peuvent atténuer le risque opérationnel associé aux produits sur site critiques.
Enfin, documentez l'incident dans votre inventaire des risques, informez les intervenants concernés et, si vous détectez des signes d'engagement, coordonnez l'intervention avec votre équipe d'incident et, si nécessaire, avec les autorités réglementaires locales. Pour les organisations qui gèrent de nombreux paramètres avec EPMM, l'établissement d'une politique de patch accélérée et des exercices de récupération aideront à empêcher une telle vulnérabilité d'entraîner un incident majeur ou un abus par les acteurs de Ransomware.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...