La United States Agency for Infrastructure and Cybersecurity (CISA) a soulevé l'alarme au sujet de la vulnérabilité à grande gravité chez Ivanti Endpoint Manager (EPM) et a ordonné aux organismes fédéraux d'appliquer des correctifs dans un délai donné. 3 semaines. Enregistré comme CVE-2026-1603, l'échec permet aux attaquants distants de dessiner des mécanismes d'authentification et d'extraire des lettres d'identification par une attaque de scription cross-site (XSS) qui, selon les avertissements, est de faible complexité et ne nécessite pas d'interaction par l'utilisateur.
Ivanti EPM est une plate-forme intégrale pour la gestion des terminaux et des périphériques clients dans plusieurs systèmes d'exploitation et environnements, y compris Windows, macOS, Linux, Chrome OS et IoT. Cette amplitude fonctionnelle fait précisément de vos vulnérabilités une cible attrayante : une défaillance du serveur de gestion peut entraîner l'accès à des dizaines ou des centaines d'équipements gérés.
Ivanti a publié des corrections il y a environ un mois quand il a publié la version Ivanti EPM 2024 SU5 qui, en plus d'atténuer XSS corrige une injection SQL qui pourrait permettre une lecture arbitraire des données dans la base de données. La déclaration de l'entreprise détaille les mesures d'atténuation disponibles et les liens de téléchargement dans son bulletin de sécurité; elle est disponible sur son portail. fonctionnaire.
Bien qu'Ivanti ait noté que, jusqu'à la publication de son avis et au moment où il a été consulté par la presse, elle n'avait pas reçu de notifications confirmées d'exploitation chez ses clients, la CISA a décidé d'inclure la vulnérabilité dans son avis. Un catalogue de vulnérabilités exploitées connues (KEV) et l'a décrite comme étant utilisée dans des attaques réelles, une décision qui est souvent basée sur la télémétrie de sources multiples et les schémas d'attaque observés. L'avis de la CISA sur la nouvelle inclusion dans le catalogue prend cet ajout et souligne que de tels échecs sont des vecteurs fréquents pour les acteurs malveillants: Voir la déclaration de la CISA et l'entrée spécifique dans le catalogue peut être consultée Voilà..
La portée potentielle du problème se reflète également dans les analyses publiques: la plate-forme de surveillance Shadowserver montre plus que 700 cas d'Ivanti EPM exposés sur Internet, principalement en Amérique du Nord, bien qu'il n'y ait pas de données publiques indiquant combien de ces cas sont des versions vulnérables ou déjà corrigées. La vue Shadowserver offre une radiographie de l'état de l'exposition publique et peut être revue sur votre tableau de bord: voir Statistiques de Shadowserver.
Les autorités fédérales n'ont pas agi isolément: l'inclusion dans la KEV déclenche une obligation contraignante pour les agences exécutives civiles du gouvernement américain. Ils doivent appliquer la correction dans le délai fixé par la directive opérationnelle. Cette exigence découle de la directive BOD 22-01 du ministère de la Sécurité nationale qui fixe les délais et les priorités pour atténuer les vulnérabilités énumérées comme étant exploitées par nature; le document complet est disponible sur le site du DHS : BOD 22-01.
Il est important de mettre cet épisode en contexte: Ivanti et d'autres gestionnaires de paramètres ont été des cibles récurrentes. En 2024, la CISA a déjà exhorté à sécuriser les réseaux contre plusieurs pannes de SPM actives, et en octobre de la même année, ils forcent également l'application de correctifs pour une autre vulnérabilité d'Ivanti détectée dans des environnements réels. La réitération de ces incidents met en lumière deux réalités dans le contexte actuel de la cybersécurité : d'une part, les outils de gestion centrale concentrent l'impact potentiel; d'autre part, les groupes d'attaque privilégient les échecs qui permettent l'accès initial ou l'exfiltration des pouvoirs.
Pour les équipes de sécurité et les gestionnaires de l'infrastructure, il y a un certain nombre de mesures pratiques qui devraient être prioritaires immédiatement. Tout d'abord, confirmez si une version affectée d'Ivanti EPM est mise en œuvre et appliquez les correctifs publiés par le fournisseur. Ensuite, s'il y a des instances accessibles par Internet, il est conseillé de restreindre l'accès externe par pare-feu et VPN, et d'envisager la déconnexion temporaire des services exposés pendant que la correction est utilisée. Il convient également d'examiner les dossiers et les alertes afin de détecter les activités inhabituelles autour du comité d'administration, ainsi que de forcer la rotation des pouvoirs et des clés administratives afin de minimiser le risque en cas de fuite. Enfin, le maintien d'une politique de défense approfondie - segmentation du réseau, authentification multifactorielle et contrôle des privilèges - réduit la probabilité qu'une vulnérabilité isolée s'étende pour compromettre les environnements critiques.
Ivanti fournit des services et des produits à des dizaines de milliers d'organisations grâce à un vaste réseau de partenaires qui multiplie l'importance d'une réponse coordonnée et rapide. L'interaction entre les avis du fabricant, la télémétrie d'organisations comme Shadowserver et les avertissements d'agence comme CISA est aujourd'hui la meilleure ligne de défense pour accélérer l'atténuation des défaillances à haut risque. Si vous administrez des systèmes EPM, la recommandation est claire : vérifier les versions, appliquer les correctifs et réduire l'exposition du public sans délai.
Pour élargir l'information technique et suivre l'évolution de l'incident, voir les sources officielles liées à ce texte et être au courant des bulletins Ivanti et des mises à jour de la CISA, qui reflètent à la fois la situation d'exploitation et les lignes directrices pour répondre dans l'environnement fédéral et privé.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...