CVE-2026-1346 : faille critique CVSS 9.3 dans IBM Verify Identity Access. Escalade de privilèges locale vers root. Correctifs IF1 disponibles.
En bref
- CVE-2026-1346 — Escalade de privilèges locale vers root dans IBM Verify Identity Access et IBM Security Verify Access (CVSS 9.3)
- Versions affectées : IBM Verify Identity Access Container 11.0 à 11.0.2, IBM Security Verify Access Container 10.0 à 10.0.9.1
- Action urgente : appliquer les correctifs IF1 disponibles pour chaque branche
Les faits
La vulnérabilité CVE-2026-1346, publiée le 8 avril 2026 par IBM, affecte deux produits majeurs de gestion des identités et des accès : IBM Verify Identity Access et IBM Security Verify Access. Avec un score CVSS de 9.3 classé critique, cette faille permet à un utilisateur localement authentifié d'escalader ses privilèges jusqu'au niveau root, obtenant ainsi un contrôle total sur le système affecté. Le bulletin de sécurité IBM confirme que certains composants de ces produits s'exécutent avec des privilèges excessifs.
Le problème fondamental réside dans le fait que des processus qui devraient fonctionner avec des permissions limitées s'exécutent en tant que root. Un attaquant disposant d'un accès légitime au système, même avec des droits minimaux, peut exploiter ce contexte d'exécution surprivilégié pour forcer le composant vulnérable à effectuer des actions avec les privilèges root. IBM a publié les correctifs sous forme d'Interim Fixes : IBM Verify Identity Access v11.0.2 IF1 et IBM Security Verify Access v10.0.9.1 IF1, disponibles sur le portail de support officiel.
IBM Verify Identity Access et IBM Security Verify Access sont déployés dans de nombreuses entreprises et administrations pour gérer l'authentification unique (SSO), les politiques d'accès et la fédération d'identités. Ces solutions occupent une position critique dans l'infrastructure de sécurité des organisations, ce qui rend cette vulnérabilité particulièrement préoccupante. Cette faille s'inscrit dans une série de vulnérabilités critiques touchant les solutions de gestion d'identités ces dernières semaines.
Impact et exposition
L'exploitation requiert un accès local authentifié, ce qui limite le vecteur d'attaque par rapport à une faille exploitable à distance. Cependant, dans les scénarios réels, cette condition est fréquemment remplie : un attaquant ayant compromis un compte utilisateur à faibles privilèges via une autre vulnérabilité ou du phishing peut utiliser CVE-2026-1346 comme vecteur d'escalade pour obtenir un contrôle total du système. Les déploiements conteneurisés sont particulièrement exposés car la compromission root dans un conteneur IBM Verify peut permettre une évasion de conteneur selon la configuration de l'orchestrateur. Les versions concernées couvrent l'ensemble des branches actives des deux produits : IBM Verify Identity Access Container 11.0 à 11.0.2 et IBM Security Verify Access Container 10.0 à 10.0.9.1. Compte tenu du rôle central de ces solutions dans la chaîne d'authentification, une compromission pourrait permettre à un attaquant de manipuler les politiques d'accès, créer des comptes privilégiés, ou intercepter des tokens d'authentification. Les failles récentes dans d'autres équipements critiques montrent que les attaquants ciblent activement ce type d'infrastructure.
Recommandations immédiates
- Appliquer IBM Verify Identity Access v11.0.2 IF1 ou IBM Security Verify Access v10.0.9.1 IF1 selon votre version — bulletin de sécurité IBM Node 7268253
- Auditer les comptes utilisateurs ayant accès aux conteneurs IBM Verify et révoquer les accès non nécessaires
- Vérifier les logs d'audit pour identifier toute activité suspecte d'escalade de privilèges : commandes exécutées en tant que root par des processus non-root
- Renforcer l'isolation des conteneurs IBM Verify : activer les profils AppArmor/SELinux, désactiver les capacités Linux non nécessaires
- Mettre en place une surveillance renforcée des processus s'exécutant avec des privilèges élevés sur les systèmes hébergeant IBM Verify
⚠️ Urgence
CVSS 9.3 critique — les solutions IBM Verify gèrent l'authentification et les accès de milliers d'utilisateurs. Une escalade root sur ces systèmes peut compromettre l'ensemble de la chaîne de confiance de votre organisation. Appliquez les correctifs IF1 sans délai.
Comment savoir si je suis vulnérable ?
Connectez-vous à la console d'administration IBM Verify et vérifiez la version dans Système > À propos. Les versions vulnérables sont : IBM Verify Identity Access Container 11.0 à 11.0.2 (avant IF1) et IBM Security Verify Access Container 10.0 à 10.0.9.1 (avant IF1). En environnement conteneurisé, vérifiez la version de l'image avec docker inspect ou kubectl describe pod selon votre orchestrateur. Le bulletin IBM Node 7268253 fournit les détails complets des versions affectées.
Un attaquant distant peut-il exploiter cette faille ?
La faille elle-même requiert un accès local authentifié. Cependant, un attaquant peut combiner cette vulnérabilité avec une autre faille d'accès distant (par exemple une injection ou un vol de credentials) pour obtenir d'abord un accès limité, puis escalader vers root. C'est un scénario classique de chaîne d'exploitation. Les environnements où IBM Verify est accessible via SSH ou un shell de conteneur sont les plus exposés à ce type de combinaison d'attaques.
Votre infrastructure IAM est-elle sécurisée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger les vulnérabilités de vos solutions de gestion d'identités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25776 : injection Perl critique dans Movable Type
CVE-2026-25776 : faille critique CVSS 9.8 dans Movable Type permettant l'injection de code Perl arbitraire via le Listing Framework. Correctifs disponibles.
CVE-2026-39888 : RCE critique PraisonAI sandbox escape (9.9)
CVE-2026-39888 révèle une faille critique (CVSS 9.9) dans PraisonAI permettant une évasion de sandbox et l'exécution de code à distance sans authentification.
CVE-2026-39846 : RCE via synchronisation SiYuan (CVSS 9)
CVE-2026-39846 (CVSS 9.0) : RCE critique dans SiYuan Electron via synchronisation de notes malveillantes. Mise à jour 3.6.4 disponible.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire