Les alarmes dans le monde de la cybersécurité ont récemment été allumées autour d'une faiblesse critique dans Ivanti Endpoint Manager Mobile (EPMM). Les chercheurs de l'entreprise de renseignement du réseau GreyBoise ont détecté des centaines de tentatives d'exploitation visant cet échec, et la frappe n'était pas seulement la quantité, mais la concentration : la plupart des activités malveillantes provenaient d'une seule adresse IP logée dans une infrastructure de type pare-balles associée à PROSPERO. Qu'un acteur ou une plate-forme coordonne la plupart des attaques parle d'automatisation à grande échelle et de stratégies de reconnaissance très développées. Des détails plus techniques et des chiffres initiaux ont été publiés par GreyBoise dans son analyse de l'exploitation active d'Ivanti: https: / / www.greynoise. io / blog / actif-ivanti-exploitation.
Les vulnérabilités en question permettent, au pire, l'exécution à distance du code sans authentification, ce qui augmente son danger. L'un d'eux, identifié comme CVE-2026-1281, a obtenu un score très élevé du CVSS (9,8), et il a été observé que les attaquants testaient ces échecs immédiatement après leur divulgation publique. Dans les environnements où la gestion des appareils mobiles est exposée à Internet, une lacune dans le système de gestion peut devenir une passerelle pour compromettre l'ensemble de l'infrastructure organisationnelle.
Le modèle d'activité décrit par GreyBoise ne se limitait pas à Ivanti : la même IP qui montrait un volume important de tentatives contre EPMM exploitait simultanément d'autres vulnérabilités dans des produits non liés. Il s'agit notamment d'échecs dans Oracle WebLogic, le démon GNU InetUtils telnet et GLPI, ce dernier référencé publiquement dans la base de données de vulnérabilité NIST: CVE-2025-24799. Le fonctionnement simultané de plusieurs produits est typique des outils automatisés qui balayent Internet à la recherche d'objectifs vulnérables.
Une autre donnée pertinente est la diversité de l'empreinte de l'agresseur : Les rotations enregistrées par GreyBruit par plus de 300 chaînes d'agents utilisateurs émulent différents navigateurs et systèmes d'exploitation. Cette mosaïque de signature aide à camoufler l'activité et à dessiner des règles de détection simples. De plus, environ 85% des séances ont suivi un modèle de vérification au moyen de consultations DNS pour vérifier si la cible était exploitable - sans déployer initialement des logiciels malveillants ou extraire des informations - une technique d'enquête qui réduit l'exposition de l'agresseur et lui permet de cataloguer des cibles susceptibles d'accéder à l'avenir.
Cette méthode s'adapte à ce que l'on appelle dans l'industrie les « premiers courtiers d'accès » : les acteurs qui cherchent l'accès initial aux réseaux puis les vendent ou les transfèrent à d'autres groupes avec extorsion, espionnage ou déploiement de charges malveillantes. Ces derniers jours, Defused Cyber a rapporté une campagne qui a laissé un « shell » - un chargeur Java en mémoire - dans des instances EPMM engagées, hébergées sur l'itinéraire « / mifs / 403.jsp ». Cette façon de laisser une porte arrière inactive jusqu'à sa réactivation ultérieure est précisément compatible avec les opérations d'accès initiales destinées à être monétisées ultérieurement.
L'association IP a noté avec un réseau qui est évalué comme appartenant à PROSPERO, et le lien que certains analystes puisent dans un autre système autonome avec l'historique dans la distribution de différents types de logiciels malveillants, souligne la continuité entre l'infrastructure « résiliente » pour les attaques et l'activité criminelle organisée. Bien que la simple appartenance à une infrastructure ne prouve pas la paternité individuelle des attaques, elle fournit un contexte opérationnel important pour les défenseurs et les équipes d'intervention.
Que devraient faire les agents de sécurité qui utilisent Ivanti EPMM? La priorité est d'appliquer les correctifs publiés par le fabricant et de revoir tout cas d'EPMM exposé à Internet. Ivanti maintient un espace avec ses avis de sécurité et mises à jour, où les recommandations officielles et les correctifs disponibles devraient être consultés: https: / / www.ivanti.com / support / conseils de sécurité. En plus du stationnement immédiat, il est essentiel de vérifier la surface externe, de rechercher des traces d'accès inhabituelles et d'analyser les dossiers DNS pour identifier les rappels qui correspondent aux modèles de vérification (tests de sécurité d'application hors bande).
Une autre mesure défensive raisonnable est de vérifier si la route / mifs / 403.jsp ou tout autre signal de charge persistant en mémoire apparaît dans les instances EPMM, et de bloquer dans le périmètre du réseau le système autonome attribué à PROSPERO (AS200593) dans la mesure du possible. Ces actions ne garantissent pas une immunité totale, mais augmentent considérablement le coût pour un attaquant qui tente d'exploiter l'infrastructure de gestion des appareils.
Les conséquences d'un EPMM commis sont graves parce qu'elles permettent à un attaquant de manipuler la gestion du mobile et des terminaux d'une organisation entière, qui ouvre des voies internes qui peuvent surmonter la segmentation traditionnelle des réseaux. C'est pourquoi les équipes de sécurité doivent agir en partant du principe que les vulnérabilités critiques sont susceptibles d'être exploitées dans les heures suivant leur publication, et concevoir des processus d'intervention et d'atténuation conformes à cette vitesse.
Au-delà des correctifs et des blocages, cet incident devrait être utilisé comme un rappel de pratiques plus larges : limiter l'exposition du public aux outils de gestion, segmenter rigoureusement l'accès à distance, renforcer la surveillance du trafic DNS et appliquer des détections basées sur le comportement qui ne dépendent pas uniquement des signatures statiques. La sécurité de la gestion des appareils est un pilier de la résilience de l'entreprise; un tel lien n'affecte pas les utilisateurs, les données et la continuité opérationnelle.
L'épisode soulève également une réflexion sur l'économie de la cybercriminalité : la préférence pour les infrastructures qui tolèrent les abus, l'utilisation du balayage de masse pour cataloguer les victimes et la mémoire des portes arrière indiquent que de nombreux agresseurs ne cherchent pas un impact immédiat mais un portefeuille d'accès qui peut être monétisé au fil du temps. Pour les organisations, la réponse doit être également patiente et méthodique : pour corriger, enquêter, durcir et, le cas échéant, partager les résultats avec les autorités et la communauté afin de réduire le rayon d'action de ces opérateurs.
Si vous gérez EPMM ou administrez le MDM exposé à Internet, prioriser l'évaluation et la médiation dès maintenant. Les preuves suggèrent que l'opération est rapide et que les attaquants ont des outils automatisés qui testent plusieurs vecteurs en même temps. Tenez-vous au courant des avis officiels du fournisseur et de l'analyse du renseignement de réseau, comme celui publié par GreyBruit, et envisagez d'établir des contrôles supplémentaires pour détecter et contenir les activités suspectes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...