Deux vulnérabilités zero-day critiques (CVSS 9.8) dans Ivanti EPMM permettent une exécution de code à distance sans authentification. Exploitation active massive en cours.
En bref
- CVE-2026-1281 et CVE-2026-1340 : deux failles zero-day critiques (CVSS 9.8) dans Ivanti Endpoint Manager Mobile (EPMM)
- Toutes les versions on-premises jusqu'à 12.7.x sont affectées — exploitation active confirmée depuis janvier 2026
- Action urgente : appliquer immédiatement le RPM correctif fourni par Ivanti et isoler les instances exposées sur Internet
Les faits
Ivanti a divulgué le 29 janvier 2026 deux vulnérabilités zero-day critiques affectant son produit Endpoint Manager Mobile (EPMM), la solution de gestion des appareils mobiles (MDM) déployée dans des milliers d'organisations à travers le monde. Les deux failles, référencées CVE-2026-1281 et CVE-2026-1340, obtiennent toutes deux un score CVSS de 9.8 sur 10, les plaçant dans la catégorie de sévérité maximale. L'exploitation active de ces vulnérabilités avait déjà été constatée avant même la divulgation officielle par le constructeur, ce qui en fait de véritables zero-days au sens strict du terme.
La vulnérabilité CVE-2026-1281 est une faille d'injection de code qui permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur le serveur EPMM. La cause racine réside dans une validation insuffisante des entrées utilisateur et un traitement inadéquat des données fournies, spécifiquement accessible via la route /mifs/c/appstore/fob/. La CVE-2026-1340 concerne le mécanisme Android File Transfer d'Ivanti et constitue un vecteur d'attaque complémentaire exploitable en chaîne avec la première faille. Ensemble, ces deux vulnérabilités permettent une prise de contrôle complète de l'infrastructure MDM sans aucune authentification préalable.
Le 8 avril 2026, la CISA a ajouté CVE-2026-1340 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant l'exploitation active à grande échelle. Les chercheurs de Palo Alto Unit 42 et Telekom Security ont documenté des campagnes d'exploitation automatisée massives ciblant les instances EPMM exposées sur Internet. Selon Horizon3.ai, un exploit fonctionnel est disponible publiquement, ce qui amplifie considérablement le risque pour les organisations n'ayant pas encore appliqué les correctifs.
Impact et exposition
Toutes les installations on-premises d'Ivanti EPMM dans les gammes de versions majeures jusqu'à 12.7.x sont vulnérables. L'exploitation ne nécessite ni authentification ni interaction utilisateur : un simple accès réseau au serveur EPMM suffit. Les organisations exposant leur instance EPMM directement sur Internet sont les plus à risque, mais les attaquants ayant un accès réseau interne peuvent également exploiter ces failles lors de mouvements latéraux post-compromission initiale.
Le compromis d'un serveur EPMM est particulièrement grave car il gère la configuration, les politiques de sécurité et les données de l'ensemble des appareils mobiles de l'organisation. Un attaquant obtenant le contrôle du MDM peut déployer des profils malveillants, intercepter les communications, accéder aux données d'entreprise et utiliser le serveur compromis comme point de pivot vers le réseau interne. Selon Telekom Security, des campagnes d'exploitation massives et largement automatisées sont en cours depuis plusieurs semaines, ciblant indifféremment les secteurs public et privé.
Recommandations immédiates
- Appliquer immédiatement le correctif RPM fourni par Ivanti (RPM 12.x.0.x ou RPM 12.x.1.x selon la version installée) — Ivanti Security Advisory SA-2026-001
- Vérifier que l'instance EPMM n'est pas directement exposée sur Internet et restreindre l'accès réseau aux seuls administrateurs autorisés via un VPN ou un pare-feu applicatif
- Analyser les journaux d'accès pour détecter des requêtes suspectes vers
/mifs/c/appstore/fob/et rechercher des indicateurs de compromission dans les processus système - Si une compromission est suspectée, isoler immédiatement le serveur, effectuer une analyse forensique complète et réinitialiser tous les certificats et tokens MDM
⚠️ Urgence
Ces vulnérabilités font l'objet d'une exploitation active massive et automatisée. La CISA les a inscrites au catalogue KEV avec obligation de correction pour les agences fédérales américaines. Avec un score CVSS de 9.8 et des exploits publics disponibles, chaque heure sans correctif augmente exponentiellement le risque de compromission. Priorisez cette mise à jour au-dessus de toute autre opération de maintenance.
Comment savoir si mon instance Ivanti EPMM est vulnérable ?
Connectez-vous à la console d'administration EPMM et vérifiez la version installée dans Paramètres > À propos. Toutes les versions on-premises jusqu'à 12.7.x non patchées sont vulnérables. Vous pouvez également vérifier si le RPM correctif a été appliqué en exécutant rpm -qa | grep mi-platform sur le serveur. Par ailleurs, un scan externe avec Shodan ou Censys sur le port 443 avec le chemin /mifs/ permet d'identifier les instances exposées sur Internet.
Quelles sont les différences entre CVE-2026-1281 et CVE-2026-1340 ?
CVE-2026-1281 est la vulnérabilité principale d'injection de code permettant l'exécution de code à distance via l'API EPMM. CVE-2026-1340 cible spécifiquement le mécanisme de transfert de fichiers Android et sert de vecteur complémentaire. Les deux failles sont souvent exploitées en chaîne pour maximiser l'impact. Il est impératif de patcher les deux simultanément car corriger l'une sans l'autre laisse un vecteur d'attaque exploitable.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-23818 : vol de credentials HPE Aruba 5G (8.8)
Vulnérabilité de redirection ouverte CVSS 8.8 dans HPE Aruba Private 5G Core permettant le vol de credentials d'administration via phishing ciblé.
CVE-2026-21643 : injection SQL critique FortiClient EMS
Injection SQL critique CVSS 9.8 dans FortiClient EMS 7.4.4 multi-tenant. Exploitation active depuis le 31 mars 2026. Mise à jour urgente vers 7.4.5+.
CVE-2026-1346 : escalade root dans IBM Verify Access (9.3)
CVE-2026-1346 : faille critique CVSS 9.3 dans IBM Verify Identity Access. Escalade de privilèges locale vers root. Correctifs IF1 disponibles.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire