L'analyse du renseignement de menace a détecté une campagne concentrée contre Ivanti Endpoint Manager Mobile (EPMM) dans laquelle un seul acteur semble derrière la plupart des exploitations actives de deux défaillances critiques identifiées sur la plateforme. Ces vulnérabilités, énumérées dans des rapports tels que CVE-2026-21962 et CVE-2026-24061, permettent l'injection de code sans authentification et peuvent donc conduire à Exécution de code à distance (URCE) sur les systèmes exposés, ce qui en fait des vecteurs extrêmement dangereux, sinon rapidement atténués.
La société de renseignement Internet GreyNoise a publié un suivi détaillé de l'activité observée entre le 1er et le 9 février: au cours de cette période, elle a recueilli 417 sessions de tentative d'exploitation à partir de seulement huit adresses IP différentes, et où un schéma très clair d'automatisation et de concentration sur les défaillances susmentionnées est vu. Vous pouvez lire le rapport de GreyBoise ici: http: / / www.greynoise.io / blog / active-ivanti-exploitation.
Le plus frappant des travaux de GreyNoise est qu'une seule adresse IP - 193 [.] 24 [.] 123 [.] 42, logée dans le système autonome PROSPERO OOO (AS200593) - concentre plus de 83 % du volume total de sessions d'exploitation détectées. Censys et d'autres analystes ont décrit l'AS comme étant une infrastructure à l'épreuve des balles, c'est-à-dire une infrastructure tolérante aux abus, couramment utilisée pour des opérations malveillantes qui cherchent à éviter des blocages rapides ou des retraits de ressources par des fournisseurs légitimes. Pour des contextes comme celui-ci, il convient de consulter les plateformes de recherche pour les hôtes et ASN comme Censys pour obtenir plus de signaux sur l'infrastructure en cause.
L'activité observée montre des pointes très intenses : le 8 février, 269 séances ont été enregistrées en une seule journée, soit près de 13 fois plus que la moyenne quotidienne d'environ 22 séances qui sont observées dans le reste de la période examinée. En outre, la campagne semble entièrement automatisée, avec des rotations pouvant aller jusqu'à trois cents différents agents utilisateurs pour cacher ou diversifier les demandes et rendre difficile l'identification par des modèles simples.
Une donnée qui suggère des objectifs commerciaux dans l'attaque est que 85% des sessions (354 des 417 enregistrées) ont utilisé des callbacks DNS dans le style OAST pour vérifier si le code distant avait été exécuté correctement. Ce comportement est typique des acteurs qui cherchent à valider l'accès initial et ensuite à le vendre ou à le réutiliser, ce qui correspond à l'activité des courtiers d'accès initial.
Parallèlement, les chercheurs notent des écarts entre les indicateurs d'engagement (IoC) publiés dans certains rapports et la télémétrie observée : par exemple, des adresses liées à des services VPN commerciaux, comme les plages de Windkirbe (185 [.] 212 [.] 171 [.] 0 / 24), sont apparues dans des listes publiques, mais dans la télémétrie de GreyBoise, ces IP scannaient des instances d'Oracle WebLogic, sans preuve d'exploitation par Ivanti. Cela met en évidence une idée pratique pour les équipes de défense : bloquer uniquement IoC public peut laisser la source la plus active de la campagne si ce n'est pas sur ces listes.
En plus des tentatives contre Ivanti EPMM, la même IP attribuée à l'acteur a simultanément exploité d'autres vulnérabilités dans différents produits - y compris des exemples d'Oracle WebLogic et GNU Inetutils Telnetd - et a également été liée à l'exploitation de CVE-2025-24799 dans GLPI, comme suit. Dans le cas du WebLogic, la plupart de la télémétrie observée était précisément cette plate-forme, avec des milliers de sessions enregistrées, qui montre qu'un seul point d'origine peut scanner et exploiter plusieurs objectifs en parallèle.
Ivanti a publié un avis de sécurité avec des correctifs immédiats et des recommandations pour atténuer les défaillances d'EPMM; la société a également annoncé qu'elle lancera des correctifs complets dans la version 12.8.0.0 d'EPMM au premier trimestre. Jusqu'à ce que cette version soit disponible, Ivanti conseille d'appliquer des versions RPM spécifiques selon la branche d'EPMM utilisée et, à titre de mesure plus conservatrice, de construire une nouvelle instance EPMM et de migration des données là. La note de sécurité officielle et les instructions du fournisseur sont ici: Avis de sécurité d'Ivanti et le guide de reconstruction est disponible ici: Instructions pour la reconstruction d'EPMM.
Pour les responsables de la sécurité et les gestionnaires qui gèrent l'EPMM, la conclusion est claire : appliquer sans délai les corrections fournies par le fabricant et, si possible, suivre la recommandation la plus prudente de migrer vers une instance reconstruite afin d'éliminer toute trace d'engagement antérieur. Il est également approprié d'étendre les défenses au-delà d'une simple liste d'IoC et de surveiller les comportements: détection des callbacks DNS atypiques, pics de trafic dans les ports et les itinéraires de la plate-forme, et alertes par des modèles d'utilisateurs- agents inhabituels sont des signes utiles qui peuvent anticiper les tentatives d'exploitation automatisées.
La campagne laisse une autre morale à la communauté : les agresseurs modernes se combinent l'automatisation de masse, l'infrastructure tolérante aux abus et les techniques de vérification à distance pour maximiser les performances de vos opérations. Cela oblige une réaction défensive tout aussi technique et proactive : patching agile, segmentation des services exposés, et collaboration entre les équipes de sécurité et les fournisseurs pour partager la télémétrie réelle et ne pas compter uniquement sur l'IoC diffusé publiquement.
Si vous gérez l'EPMM ou l'infrastructure connexe, examinez immédiatement les recommandations du fabricant et les notes de renseignement public, et préparez un plan d'intervention qui permettra la reconstruction des cas et la surveillance continue. Pour approfondir les résultats techniques et les indicateurs observés, vérifiez ici l'analyse de GreyNoise : GreyBruit - Exploitation active Ivanti, et vérifiez les pages de support d'Ivanti pour appliquer les corrections suggérées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...