CVE-2026-6973 : RCE Ivanti EPMM exploité en 0-day (KEV CISA)

Les faits

CVE-2026-6973 est une vulnérabilité d'exécution de code à distance (Remote Code Execution, RCE) dans Ivanti Endpoint Manager Mobile (EPMM), anciennement connu sous le nom de MobileIron Core, l'une des plateformes de gestion de la mobilité d'entreprise (EMM/MDM) les plus déployées dans le monde au sein des administrations et grandes organisations. La faille a été rendue publique le 7 mai 2026 par Ivanti et le Centre pour la Cybersécurité de Belgique (CCN-B), avec la confirmation simultanée d'une exploitation active dans la nature. La CISA a immédiatement ajouté CVE-2026-6973 à son catalogue KEV le même jour, fixant un délai de remédiation au 10 mai 2026 pour les agences fédérales américaines — soit seulement 72 heures après la divulgation publique, témoignant d'un niveau de menace exceptionnel.

La particularité de CVE-2026-6973 réside dans sa chaîne d'exploitation sophistiquée à deux étapes. Techniquement, la faille est une vulnérabilité RCE authentifiée : elle nécessite des identifiants administrateur valides pour être exploitée, ce qui en temps normal limiterait significativement sa dangerosité. Cependant, les attaquants ont contourné ce prérequis en réutilisant des credentials administrateur EPMM collectés lors d'une campagne antérieure d'exploitation de CVE-2026-1340, une vulnérabilité divulguée en janvier 2026 permettant l'extraction de credentials depuis les instances EPMM sans authentification préalable. Ivanti a déclaré avec un haut niveau de confiance que les identifiants utilisés dans la campagne de mai 2026 avaient été moissonnés lors des compromissions de janvier 2026.

Cette chaîne d'attaque en deux vagues illustre une tendance de fond dans les campagnes ciblant les équipements de gestion d'entreprise : les acteurs malveillants constituent des bases de credentials compromis lors d'une première vague, puis les mobilisent mois plus tard lors de la découverte d'une nouvelle vulnérabilité sur les mêmes produits. Ce schéma — connu sous le terme de credential harvesting multi-étapes — est caractéristique des groupes APT opérant avec une planification stratégique sur des cibles de haute valeur. Les organisations qui avaient subi des tentatives d'exploitation de CVE-2026-1340 en janvier 2026 sans effectuer de rotation complète de leurs credentials administrateur EPMM sont donc les plus exposées à CVE-2026-6973.

Sur le plan technique, CVE-2026-6973 est une vulnérabilité de validation d'entrée insuffisante (Improper Input Validation, CWE-20) dans l'interface de gestion web d'Ivanti EPMM. Un attaquant disposant d'identifiants administrateur valides peut soumettre des requêtes spécialement forgées à des endpoints de l'API de gestion, déclenchant l'exécution de code arbitraire sur le serveur sous-jacent avec les privilèges du processus EPMM. Selon les analyses publiées par ZeroPath et SOCRadar, la faille exploite un mécanisme d'injection via des paramètres d'entrée insuffisamment validés dans des fonctions de gestion d'appareils, permettant l'injection de commandes système ou de code côté serveur.

Les versions affectées couvrent toutes les installations on-premises d'EPMM 12.8.0.0 et antérieures. Les déploiements cloud Ivanti hébergés directement par Ivanti ne sont pas affectés — le vendeur ayant appliqué les correctifs en transparence sur son infrastructure cloud. Cette distinction est importante : seules les organisations ayant fait le choix du déploiement on-premises pour des raisons de souveraineté des données ou de conformité réglementaire sont exposées, ce qui correspond précisément aux profils d'organisations traitant des données les plus sensibles — gouvernements, défense, santé, finance.

Ivanti a publié les versions corrigées 12.6.1.1, 12.7.0.1 et 12.8.0.1 couvrant les trois branches de maintenance actives. Des instructions de mitigation temporaire ont également été publiées dans l'advisory ISEC-2026-014 pour les organisations ne pouvant pas mettre à jour immédiatement, incluant des restrictions d'accès à l'interface d'administration et la révocation des sessions actives. Cependant, Ivanti précise explicitement que ces mitigations sont provisoires et ne substituent pas à l'application du patch.

Ce n'est pas la première fois en 2025-2026 qu'Ivanti fait face à une série de vulnérabilités critiques exploitées en chaîne. En 2024, plusieurs failles dans Ivanti Connect Secure (ICS) et Ivanti Policy Secure avaient déjà conduit la CISA à publier des directives d'urgence (ED 24-01) et à recommander la déconnexion temporaire des équipements. La répétition de ce schéma en 2026, désormais sur EPMM, témoigne d'une pression persistante exercée par des acteurs étatiques et cybercriminels sur l'ensemble du portefeuille Ivanti, faisant de cet éditeur un vecteur d'accès initial privilégié pour les campagnes APT ciblant les entreprises et administrations. Selon les informations publiées par The Hacker News, CVE-2026-6973 s'inscrit dans une série de vulnérabilités Ivanti EPMM exploitées depuis plusieurs années par des acteurs liés à des Etats-nations.

Le Centre pour la Cybersécurité de Belgique a confirmé qu'un nombre limité de clients avaient été compromis via CVE-2026-6973 au moment de la divulgation publique. Cette formulation suggère une exploitation ciblée et non opportuniste au stade initial, caractéristique d'acteurs APT ayant préparé l'attaque en amont plutôt que de scripts automatisés balayant Internet. Les secteurs gouvernementaux européens et les opérateurs d'importance vitale ont été explicitement mentionnés parmi les cibles potentielles dans les communications des CERT nationaux, dont le CERT-FR.

Impact et exposition

Ivanti EPMM est déployé principalement dans des environnements on-premises d'organisations ayant des exigences strictes de souveraineté des données : administrations publiques, ministères, agences de défense, établissements de santé, opérateurs télécom et grandes entreprises sous contraintes réglementaires. En France, de nombreux OIV (Opérateurs d'Importance Vitale) et OSE (Opérateurs de Services Essentiels) utilisent des solutions MDM on-premises pour gérer la flotte mobile de leurs employés. Ces organisations sont prioritairement exposées et ont des obligations de remédiation accélérée sous la directive NIS2.

Un serveur EPMM compromis donne à l'attaquant bien plus qu'un simple accès serveur. EPMM centralise les profils de configuration de tous les appareils mobiles gérés, les certificats d'entreprise déployés, les politiques VPN et d'accès réseau, les comptes email d'entreprise et potentiellement des tokens d'accès à des systèmes critiques. Un acteur malveillant contrôlant EPMM peut modifier les politiques de sécurité mobile pour affaiblir la protection des endpoints, pousser des configurations malveillantes vers des milliers d'appareils via les mécanismes MDM officiels, et extraire des informations d'inventaire permettant la cartographie précise de l'infrastructure de l'organisation.

La combinaison avec CVE-2026-1340 (credential harvesting de janvier 2026) crée un risque résiduel pour toutes les organisations ayant eu des instances EPMM actives en début d'année sans rotation de credentials. Même si CVE-2026-1340 avait été patchée, les credentials potentiellement exfiltrés restent utilisables jusqu'à leur rotation. Toute organisation dans cette situation doit donc considérer l'exploitation de CVE-2026-6973 comme un risque actuel et non futur.

Le délai CISA de remédiation fixé au 10 mai 2026 (72 heures après divulgation) pour les agences fédérales est l'un des plus courts jamais imposés pour une vulnérabilité Ivanti, reflétant le niveau de risque évalué par les autorités. En Europe, l'ENISA et plusieurs CERT nationaux ont relayé l'alerte avec des recommandations d'action immédiate, en particulier pour les secteurs santé, gouvernemental et transport, qui représentent les secteurs les plus ciblés par les acteurs APT exploitant les vulnérabilités Ivanti selon les rapports de CrowdStrike et Mandiant 2026.

Recommandations immédiates

• Mettre à jour Ivanti EPMM vers les versions corrigées : 12.6.1.1, 12.7.0.1 ou 12.8.0.1 selon votre branche actuelle — advisory Ivanti ISEC-2026-014
• Effectuer une rotation complète de tous les credentials administrateur EPMM immédiatement, en priorité si une instance était active en janvier 2026 lors de la campagne CVE-2026-1340
• Restreindre l'accès à l'interface d'administration EPMM aux seules adresses IP de gestion via ACL ou VPN dédié, en attendant et après le patch
• Auditer les journaux d'accès EPMM depuis le 1er janvier 2026 pour détecter des connexions administrateur depuis des IP ou user-agents inhabituels
• Vérifier l'intégrité des profils de configuration déployés sur les appareils gérés et rechercher des modifications non autorisées depuis janvier 2026
• Si compromission suspectée : isoler le serveur EPMM, démarrer une investigation forensique, révoquer tous les certificats d'entreprise déployés via EPMM et émettre de nouveaux certificats
• Intégrer les logs EPMM dans le SIEM pour corrélation avec d'autres événements de sécurité et configurer des alertes sur les authentifications administrateur inhabituelles