Ivanti a publié un avis urgent concernant une nouvelle défaillance de sécurité dans son gestionnaire d'appareils mobiles sur site, Endpoint Manager Mobile (EPMM), identifié comme CVE-2026-6973 avec un score CVSS de 7,2, qui a déjà été exploité dans un nombre très limité d'incidents dans des environnements réels, selon l'entreprise elle-même. La vulnérabilité est un problème de Validation insuffisante des entrées qui, en présence de pouvoirs administratifs, permet l'exécution à distance du code; Ivanti avertit que l'opération nécessite l'authentification avec des privilèges administratifs, de sorte que l'exposition dépend à la fois de la présence de la version vulnérable et du contrôle de l'accès aux comptes administratifs.
En plus de CVE-2026-6973, Ivanti a corrigé quatre autres échecs sur site EPMM qui méritent une attention immédiate: CVE-2026-5786(accès administratif par un contrôle d'accès incorrect), CVE-2026-5787(validation des certificats permettant l'impression et l'obtention des certificats signés par l'AC), CVE-2026-5788(invocation arbitraire de méthodes par un attaquant non authentifié) et CVE-2026-7821(enregistrement non autorisé des dispositifs et filtrage des informations de la demande). L'ensemble comprend les défaillances qui ne nécessitent pas d'authentification préalable, ce qui les place dans une position hautement prioritaire pour l'atténuation.
Le gouvernement américain a réagi y compris l'échec dans les vulnérabilités connues exploitées, KEV, de la CISA, qui oblige les organismes fédéraux civils à appliquer les corrections avant le 10 mai 2026. Cette inclusion met en évidence le risque opérationnel et la nécessité de prioriser les déploiements de patchs, non seulement dans les environnements gouvernementaux, mais aussi dans les entreprises qui manipulent des appareils mobiles d'entreprise critiques.
Ivanti indique que les corrections sont incluses dans les versions 12.6.1.1, 12.7.0.1 et 12.8.0.1 de EPMM; si votre installation est dans les versions précédentes, l'action la plus urgente est de planifier et exécuter la mise à jour de ces versions ou versions supérieures. Étant donné que les vulnérabilités n'affectent que la version sur site d'EPMM et non les neurones Ivanti pour MDM (cloud) ou d'autres produits Ivanti, il est crucial d'identifier précisément quelle instance est en production avant de prendre des décisions techniques.
Si votre organisation a déjà été avisée ou soupçonnée d'une opération antérieure (p. ex. pour des incidents liés au CVE-2026-1281 ou au CVE-2026-1340), Ivanti recommande que les titres de compétences administratifs aient été remplacés; cette rotation réduit considérablement la zone de risque par rapport au CVE-2026-6973. En outre, Examen médico-légal d'un registre d'accès administratif, de vérifier l'intégrité des binaires et des configurations, et de rechercher des indicateurs de compromis liés à la délivrance ou à l'utilisation inhabituelle de certificats et avec des inscriptions non autorisées de dispositifs.
Dans la pratique, les mesures immédiates consistent à appliquer le correctif officiel, à faire pivoter les pouvoirs administratifs et de service, à forcer la révocation et la réémission des certificats concernés, le cas échéant, et à restreindre l'accès à l'interface de gestion EPMM par la segmentation du réseau, l'administration des VPN et les listes de contrôle d'accès. Activer l'authentification multi-facteurs dans les comptes avec des privilèges et augmenter le niveau de surveillance autour des paramètres de gestion : rechercher l'accès administratif après les heures, les changements dans l'enregistrement TLS anormale et les modèles de trafic qui peuvent indiquer Sentry imitation ou tentatives de certification.
D'un point de vue opérationnel et de gouvernance, coordonnez avec votre équipe de sécurité, le fournisseur et les tiers qui gèrent les appareils mobiles pour s'assurer que les mises à jour sont déployées de manière contrôlée et que des plans de sauvegarde et de renversement sont en place. Voir la note technique et les conseils du fabricant pour des instructions de mise à jour spécifiques, et contraster avec les sources de référence publiques telles que le catalogue CISA et la base de données NVD pour la surveillance des entrées CVE et la télémétrie publique: Avis de sécurité d'Ivanti et le dossier de la CISA dans le catalogue KEV mentionné ci-dessus, ainsi que la page NVD pour chaque CVE ( CVE-2026-6973 en NVD).
En bref, considérez ces corrections comme des priorités : Mettre à jour l'EPMM sur place pour les versions parchées, les pouvoirs administratifs pourri, renforcer les contrôles d'accès et les dossiers d'examen des activités suspectes. La combinaison de dispositifs techniques et de mesures de détection et de confinement réduit considérablement la probabilité qu'une explosion observée dans la nature ait un impact réel sur son organisation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...