Ivanti a publié des correctifs de sécurité pour corriger deux vulnérabilités critiques qui affectent sa solution de gestion de périphériques mobiles Ivanti Endpoint Manager Mobile (EPMM) et sont déjà utilisés dans des attaques de zéro jour. Ces deux défaillances, identifiées comme CVE-2026-1281 et CVE-2026-1340, recevoir un score très élevé sur l'échelle CVSS (9.8) et permettre l'injection de code qui pourrait entraîner une exécution non authentifiée à distance sur l'application touchée.
La société a signalé que ces faiblesses ont un impact sur les fonctions spécifiques du produit, en particulier la distribution interne des applications (In-House Application Distribution) et la configuration de transfert de fichiers pour Android (Android File Transfer Configuration), et a précisé que d'autres produits de la famille Ivanti - tels que Ivanti Neurons pour MDM, Ivanti Endpoint Manager (EPM) ou Ivanti Sentry - ne sont pas affectés par ces échecs. L'avis officiel et le guide technique sont disponibles sur les forums Ivanti où ils expliquent les scénarios d'exploitation et d'atténuation: Avis de sécurité d'Ivanti et analyse détaillée avec des conseils techniques.
Les deux vulnérabilités ont été énumérées comme étant exploitées dans la nature, et l'Agence américaine pour l'infrastructure et la cybersécurité. Les États-Unis (CISA) ont ajouté au moins un d'entre eux - CVE-2026-1281 - à leur catalogue de vulnérabilités connues pour être exploitées (Known Exploited Vulnerabilities, KEV), qui oblige les organismes fédéraux à appliquer les corrections en très peu de temps. L'avis de la CISA intégrant l'entrée et la page du catalogue peut être consulté ici: Alerte de la CISA et Catalogue KEV.
Du point de vue technique, l'exploitation de ces défaillances permet à un attaquant d'injecter du code dans l'application EPMM et d'obtenir une exécution arbitraire sans devoir être authentifiée, ce qui ouvre la porte pour compromettre l'infrastructure et accéder à des informations sensibles sur les appareils administrés. Ivanti décrit que, historiquement, les attaques réussies contre les anciennes variantes EPMM ont fini par introduire la persistance à travers les shells web ou les shells inversés, des techniques qui assurent un long accès au système compromis.
Les versions concernées comprennent des succursales d'EPMM jusqu'à 12.5.x, 12.6.x et 12.7.x selon la matrice de versions publiée; pour sa part, la société indique que la correction définitive sera définitivement intégrée dans la version 12.8.0.0 qu'elle prévoit de lancer au cours du premier trimestre de 2026. Comme mesure immédiate, Ivanti a distribué un patch au format RPM, mais avertit que ce patch ne survit pas à une mise à jour de version: si l'application est mise à jour après application du RPM, il sera nécessaire de le réinstaller.
Ivanti signale également qu'il a détecté un petit nombre de clients qui ont été exploités au moment de la divulgation, mais qu'il n'a pas encore d'indicateurs d'engagement atomiques et vérifiables qui permettront de retracer de façon fiable l'activité de l'acteur derrière les attaques. Cette incertitude explique précisément pourquoi l'entreprise fournit des instructions pour la recherche de preuves dans les systèmes et pour le confinement et la récupération si une intrusion est confirmée.
Pour identifier les tentatives ou incursions, la recommandation opérationnelle passe en revue le journal d'accès Apache situé dans / var / journal / httpd / https-access _ journal à la recherche de modèles dans les pétitions concernant les paramètres en cause. Ivanti fournit une expression régulière qui aide à détecter les applications qui retournent 404 codes associés à des tentatives d'abus sur les routes / mifs / c / (aft-124; app) stocker / fob; dans des conditions normales, les appels légitimes doivent retourner 200, alors que les tentatives manquées ou les fermes causent souvent 404. Trouver des dossiers qui correspondent à ce modèle, ou des réponses anormales, devrait mener à une enquête plus approfondie.
En plus de surveiller les journaux Web, Ivanti recommande d'examiner les changements récents dans la configuration elle-même : vérifier les administrateurs nouveaux ou modifiés, vérifier les paramètres d'authentification tels que SSO et LDAP, revoir les applications push et leur configuration, ajouter ou modifier des politiques et tout changement dans la configuration réseau ou VPN qui sont déployés sur des appareils mobiles. Si des signes d'engagement sont identifiés, la recommandation ferme est de restaurer l'application à partir d'une sauvegarde fiable ou de reconstruire une nouvelle instance et de migrer les données, puis de faire pivoter les références critiques et les certificats.
En cas de nettoyage après un incident, les mesures de confinement proposées comprennent le rétablissement des mots de passe des comptes locaux EPMM, la modification des identifiants de service utilisés pour les recherches LDAP ou KDC, la révocation et le remplacement du certificat public de demande et la mise à jour de tout autre compte de service lié à l'environnement. Ces mesures visent à enlever les portes arrière et les justificatifs qu'un attaquant peut avoir exfiltré ou obtenu pendant l'intrusion.
Pour les gestionnaires de sécurité et l'équipement, la priorité immédiate est d'appliquer les correctifs officiels d'Ivanti lorsque c'est possible et de confirmer que la correction est conservée après toute mise à jour de version; si le RPM temporaire est utilisé, il doit être réinstallé après chaque mise à niveau jusqu'à ce que la version 12.8.0.0 soit déployée. Les notes et mises à jour Ivanti peuvent être consultées dans votre espace publicitaire: forum / Avis d'Ivanti.
L'entrée de CVE-2026-1281 dans le catalogue KEV a accéléré les délais réglementaires pour les organismes gouvernementaux américains : les organismes fédéraux doivent avoir appliqué les corrections à la date limite fixée par la CISA, ce qui, dans ce cas, exige une conformité rapide. Pour les équipes à l'extérieur du niveau fédéral, la recommandation pratique est identique : prioriser la mise à jour, surveiller les preuves d'activités suspectes et être préparé pour les interventions d'incident qui comprennent la restauration à partir de copies fiables, la reconstruction des applications et la rotation des références critiques.
Dans un environnement où les plateformes de gestion mobile concentrent l'accès et les données sensibles sur les appareils d'une organisation, une vulnérabilité qui permet l'exécution à distance sans authentification n'est pas une menace mineure. Le maintien de systèmes à jour, l'audition de changements dans les paramètres et l'établissement de processus clairs de récupération et de rotation des titres de compétence sont des mesures qui réduisent les risques et accélèrent la réponse à une intrusion. Pour plus d'informations et d'étapes techniques, voir la communication d'Ivanti et le guide CISA: analyse et conseils d'Ivanti et Alerte de la CISA.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...