CVE-2026-9614, CVSS 8.8 : Ivanti Neurons for ITSM on-premises expose les organisations à une escalade de privilèges vers le niveau administrateur. CERTFR-2026-AVI-0677 publié — patch obligatoire sur les versions 2025.4 et antérieures.
En bref
- CVE-2026-9614 : vulnérabilité de contrôle d'accès dans Ivanti Neurons for ITSM permettant l'escalade de privilèges vers le niveau administrateur, CVSS 8.8
- Systèmes affectés : versions on-premises 2025.4 et antérieures — les clients cloud ont déjà été patchés automatiquement fin mai 2026
- Action requise : appliquer immédiatement 2025.4 Patch 1, 2025.3 Patch 1 ou 2025.2 Patch 1 selon votre version déployée
Les faits
Le 1er juin 2026, Ivanti a publié un bulletin de sécurité concernant CVE-2026-9614, une vulnérabilité de contrôle d'accès inapproprié (CWE-284) dans sa plateforme Neurons for ITSM, un outil de gestion des services informatiques largement déployé dans les entreprises et administrations. Le même jour, le CERT-FR a émis l'avis CERTFR-2026-AVI-0677, relayant l'alerte auprès des organisations françaises. Le score CVSS 3.1 attribué est de 8.8, avec un vecteur réseau, une complexité faible et des privilèges utilisateur minimaux requis (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
La vulnérabilité affecte spécifiquement les déploiements on-premises d'Ivanti Neurons for ITSM en versions 2025.4 et antérieures. Un attaquant disposant d'un compte valide — même avec des privilèges minimaux de type "agent help desk" — peut exploiter cette faille pour s'élever jusqu'au niveau administrateur de la plateforme, sans interaction utilisateur supplémentaire et sans conditions préalables complexes. La combinaison des facteurs réseau, de faible complexité et de faibles privilèges requis en fait une vulnérabilité particulièrement accessible à l'exploitation, même par des attaquants de niveau intermédiaire.
Les conséquences d'une escalade de privilèges vers le niveau administrateur d'un ITSM sont potentiellement très graves dans un contexte de sécurité des opérations. Les plateformes ITSM sont au cœur des processus IT : elles gèrent les tickets d'incidents, les changements d'infrastructure, les demandes d'accès, et souvent les flux d'approbation des modifications systèmes. Un attaquant ayant obtenu des droits admin sur Ivanti Neurons for ITSM peut approuver frauduleusement des demandes d'accès privilégiés, modifier des workflows pour introduire des portes dérobées dans les processus de changement, accéder à l'ensemble des tickets d'incidents et donc aux informations sur les vulnérabilités connues et non résolues de l'organisation, et manipuler les données d'inventaire des actifs pour dissimuler des systèmes compromis.
Ivanti a confirmé que les clients utilisant la version cloud de Neurons for ITSM ont été protégés automatiquement lors des mises à jour déployées les 24 et 25 mai 2026 (versions 2026.1 Patch 9 et 2026.2 Patch 1). En revanche, les déploiements on-premises nécessitent une action manuelle de la part des équipes IT. Trois versions de patch ont été publiées pour couvrir les différentes branches supportées : 2025.4 Patch 1 pour les clients en version 2025.4, 2025.3 Patch 1 pour ceux en version 2025.3, et 2025.2 Patch 1 pour ceux en version 2025.2.
Ivanti est devenu l'un des éditeurs les plus scrutés par la communauté cybersécurité en raison de la fréquence des vulnérabilités critiques découvertes dans ses produits ces deux dernières années. Connect Secure, Policy Secure, Neurons for MDM, Endpoint Manager : chaque trimestre ou presque, un nouveau bulletin de sécurité urgent émane d'Ivanti. CVE-2026-9614 s'inscrit dans ce contexte de défiance croissante des RSSI vis-à-vis de l'hygiène sécurité de cet éditeur. La CISA a d'ailleurs publié plusieurs alertes spécifiques sur les produits Ivanti, recommandant aux organisations de traiter leurs déploiements Ivanti comme des cibles prioritaires pour le patch management.
Il convient de noter qu'à ce jour, Ivanti n'a pas signalé d'exploitation active de CVE-2026-9614 dans la nature. Toutefois, le vecteur réseau sans interaction utilisateur et le faible niveau de privilèges requis rendent l'exploitation accessible rapidement après publication de la faille. Les plateformes ITSM étant généralement accessibles depuis le réseau interne de l'entreprise — voire parfois exposées partiellement à Internet pour le support à distance — le risque d'exploitation par un attaquant ayant déjà obtenu un premier point d'entrée dans le réseau est réel et documenté.
La surface d'attaque d'Ivanti Neurons for ITSM est particulièrement attractive pour les groupes APT pratiquant la reconnaissance préalable longue. En s'appropriant les droits admin sur la plateforme ITSM, un attaquant patient peut cartographier silencieusement l'ensemble du parc informatique de sa cible, identifier les systèmes non patchés, et planifier des mouvements latéraux précis sans déclencher d'alertes visibles. C'est précisément le mode opératoire de groupes comme APT41 ou Volt Typhoon, connus pour leur utilisation d'outils de gestion IT légitimes comme vecteurs de persistance à long terme.
Le CERT-FR classe cet avis en urgence et recommande une application des correctifs dans les meilleurs délais. Pour les organisations ne pouvant pas patcher immédiatement, des contrôles compensatoires sont impératifs : restriction de l'accès à Neurons for ITSM aux seuls réseaux internes de confiance, revue des comptes actifs à faibles privilèges, suppression des comptes génériques partagés entre prestataires, et activation des logs d'audit complets pour détecter toute tentative d'escalade anormale.
Impact et exposition
Toute organisation ayant déployé Ivanti Neurons for ITSM en version on-premises antérieure à 2025.4 Patch 1 est exposée. Le risque est aggravé dans les environnements où la plateforme est accessible depuis des réseaux moins contrôlés (réseaux invités, zones DMZ, accès VPN utilisateurs) ou dans les organisations disposant de nombreux comptes ITSM à faibles privilèges — help desk externalisé, prestataires de maintenance tiers. Les secteurs hospitalier, industriel et public — qui maintiennent souvent des ITSM on-premises pour des raisons de conformité — sont particulièrement concernés. Une escalade admin sur un ITSM hospitalier, par exemple, peut permettre la consultation et la manipulation de tickets contenant des données de santé ou des plans de continuité d'activité.
Recommandations
- Immédiat : Identifier votre version d'Ivanti Neurons for ITSM et appliquer le patch correspondant — 2025.4 Patch 1, 2025.3 Patch 1 ou 2025.2 Patch 1 — les clients cloud n'ont aucune action à effectuer.
- Court terme : Auditer les logs d'accès et d'audit de la plateforme pour détecter toute tentative d'escalade de privilèges depuis l'annonce du 1er juin 2026 et révoquer les sessions actives suspectes.
- Structurel : Revoir l'architecture d'exposition d'Ivanti Neurons for ITSM — accès restreint au réseau interne, MFA imposé sur tous les comptes sans exception, suppression des comptes génériques partagés, activation de l'audit complet.
Comment savoir si mon Ivanti Neurons for ITSM est en version cloud ou on-premises ?
Si votre accès à Neurons for ITSM passe par un sous-domaine hébergé par Ivanti (URL de type .ivanti.com ou .ivanticloud.com), vous êtes en mode cloud et avez déjà été patchés automatiquement. Si vous accédez à la plateforme via une URL interne (type itsm.votreentreprise.fr ou une adresse IP interne), vous disposez d'un déploiement on-premises et devez appliquer le patch manuellement. Consultez la page d'administration de votre instance pour vérifier le numéro de version exact installé.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditUn projet cybersécurité ?
Expert dispo · Réponse 24h