CVE-2026-1603 : Ivanti EPM auth bypass exploité (CVSS 8.6)

Les faits

CVE-2026-1603 est une vulnérabilité d'authentification incorrecte (CWE-288) affectant Ivanti Endpoint Manager (EPM), la solution centralisée d'administration de postes utilisée dans des dizaines de milliers d'environnements Active Directory à travers le monde. Avec un score CVSS v3.1 de 8.6 (vecteur AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N), la vulnérabilité expose la confidentialité des informations stockées par EPM sans nécessiter d'authentification ni d'interaction utilisateur. L'attaquant n'a besoin que d'un accès réseau au serveur EPM, condition généralement remplie dès lors qu'il a pris pied dans le réseau interne ou que la console EPM est exposée à Internet.

Le bug est documenté en détail par les équipes de Horizon3.ai et SentinelOne dans des analyses publiées fin avril et début mai 2026. La cause racine est un défaut de filtrage dans la chaîne de traitement des en-têtes HTTP côté API EPM : un sous-ensemble d'endpoints accepte des requêtes sans appliquer le contrôle d'authentification utilisé par le reste de l'application. Plus précisément, en injectant dans les headers HTTP une valeur numérique spécifique – le « magic number » 64 – un attaquant peut court-circuiter la vérification du jeton de session et atteindre directement les endpoints protégés. Le mécanisme exploite une concaténation malformée dans le pipeline de validation, où la présence du sentinel 64 aiguille la requête vers un chemin de code non protégé.

L'impact concret est sévère : l'attaquant peut interroger l'API du Credential Vault d'EPM et extraire les blobs chiffrés associés aux comptes à hauts privilèges. EPM stocke généralement des credentials de domaine administrateur, des comptes de service et des comptes locaux des postes administrés, utilisés pour les opérations de déploiement de paquets, de scan d'inventaire et de patch management. Une fois ces blobs extraits, leur déchiffrement est trivial pour qui dispose des informations contextuelles minimales : le mécanisme de chiffrement EPM repose sur des clés dérivées et stockées sur le serveur lui-même, sans HSM ni KMS externe par défaut.

La chronologie de la vulnérabilité montre une fenêtre d'exposition longue. Ivanti a publié l'advisory et le correctif dans EPM 2024 SU5 mi-avril 2026, mais l'exploitation in-the-wild a été détectée par plusieurs CERT et fournisseurs MDR avant la publication du patch. CISA a inscrit la CVE au catalogue KEV (Known Exploited Vulnerabilities) début mai 2026, imposant aux agences fédérales américaines une remédiation sous 21 jours. Field Effect, dans une note publiée le 2 mai 2026, confirme « an active exploitation » dans plusieurs incidents observés sur des environnements clients du secteur santé et industriel.

Au plan technique, la chaîne d'exploitation publiée est extrêmement courte. L'attaquant émet une requête HTTPS vers l'interface d'administration EPM, généralement exposée sur le port 443 ou 8443. Dans les en-têtes de la requête, il insère une valeur de header particulière incluant le magic number 64 (les détails exacts du header concerné restent volontairement flous dans les advisories publics pour ne pas faciliter l'industrialisation). La requête est alors routée vers un endpoint de récupération de credentials qui, en l'absence de validation de session, retourne directement les données chiffrées. Quelques requêtes successives suffisent à dumper l'intégralité du vault.

L'ampleur du parc Ivanti EPM exposé est significative. Selon les estimations de l'Internet Storm Center et de Censys, plusieurs milliers d'instances EPM sont accessibles directement depuis Internet sur le port 443, principalement chez des MSP, des écoles et des collectivités qui exposent l'interface pour permettre l'administration distante de leurs flottes. Le pourcentage réel de versions vulnérables (2024 SU4 SR1 et antérieures) au moment de la publication de l'advisory est estimé entre 70 % et 80 %, EPM 2024 SU5 n'étant qu'une release récente.

La criticité opérationnelle de cette CVE découle de la nature du produit. EPM est une cible de premier rang pour les acteurs ransomware (RansomHub, BlackBasta, Akira, observés sur des dossiers Ivanti antérieurs comme CVE-2024-29824 ou CVE-2024-13159) car il offre simultanément deux ressources convoitées : des credentials Domain Admin prêts à l'emploi et un canal de déploiement légitime pour pousser des charges sur l'ensemble du parc. Une fois EPM compromis, l'attaquant n'a généralement plus besoin de mouvement latéral classique : il distribue son ransomware via la console EPM elle-même.

Cette CVE s'ajoute à une série noire pour Ivanti depuis 2024, après les vulnérabilités Connect Secure (CVE-2024-21887, CVE-2025-0282), Avalanche, Endpoint Manager Mobile (CVE-2026-1281 publié récemment) et désormais EPM. La marque est devenue un point focal pour les acteurs offensifs, à tel point que CISA recommande explicitement aux agences fédérales de réévaluer leur dépendance à l'écosystème Ivanti dans plusieurs notes émises depuis 2024.

Impact et exposition

L'impact direct est l'exfiltration des credentials Domain Admin et de comptes de service stockés dans le Credential Vault d'EPM. Concrètement, cela signifie qu'un attaquant ayant exploité CVE-2026-1603 dispose en quelques secondes d'un accès privilégié à l'Active Directory de l'organisation, ce qui lui permet d'accéder à tous les serveurs et postes joints au domaine, de créer des comptes persistants, de désactiver les solutions EDR, et d'orchestrer un déploiement ransomware via la console EPM elle-même.

L'exposition est double. Côté Internet, plusieurs milliers d'instances EPM sont directement joignables, principalement chez des MSP et des organisations distribuées. Ces instances sont des cibles immédiates pour des scans de masse. Côté interne, toute compromission initiale par phishing ou via une autre vulnérabilité offre un pivot trivial vers EPM si la console est joignable depuis le LAN, ce qui est presque toujours le cas par construction (les agents EPM doivent atteindre le serveur). La condition « PR:N + AV:N + scope changed » du vecteur CVSS souligne que cette CVE transforme un simple accès réseau en compromission de domaine.

Les organisations particulièrement exposées sont celles qui combinent une console EPM accessible Internet (typiquement les MSP gérant des clients distants), un parc Active Directory mature avec comptes Domain Admin stockés dans le vault, et un cycle de patch lent. Les secteurs santé, éducation, manufacturing et collectivités territoriales sont surreprésentés dans le profil typique du client EPM en France et concentrent ainsi le risque résiduel.

Côté détection, les indicateurs de compromission documentés incluent : connexions HTTP/HTTPS vers les endpoints API EPM (notamment /WSVulnerabilityCore, /WSStatusEvents, /WSPatch) avec des headers contenant des valeurs numériques inhabituelles, requêtes en provenance d'IPs externes ou de plages réseau non administratives, pics d'accès au vault non corrélés à des opérations de patch ou d'inventaire planifiées. Les solutions SIEM doivent être configurées pour alerter sur tout accès non authentifié réussi aux APIs EPM.

Recommandations immédiates

• Mettre à jour Ivanti Endpoint Manager vers la version 2024 SU5 (Service Update 5) ou ultérieure, disponible via Ivanti License System — Ivanti Security Advisory d'avril 2026 sur EPM.
• Faire tourner immédiatement tous les credentials stockés dans le Credential Vault EPM, en priorité les comptes Domain Admin, comptes de service privilégiés et comptes locaux des postes administrés.
• Restreindre l'accès réseau à l'interface d'administration EPM : limiter aux IPs administratives via firewall, retirer toute exposition Internet directe (placer derrière un VPN ou un reverse proxy authentifié).
• Auditer les logs EPM des trois derniers mois à la recherche d'accès anormaux aux APIs (notamment /WSVulnerabilityCore et endpoints liés au vault), de connexions depuis des IPs externes inattendues, et de récupérations massives de credentials.
• Inscrire EPM dans le périmètre de surveillance EDR/XDR avec règles spécifiques sur les processus enfants de l'AppPool IIS hébergeant la console EPM.
• Réévaluer le modèle de stockage des credentials privilégiés : envisager une migration vers un PAM dédié (CyberArk, Delinea, BeyondTrust) plutôt que de continuer à stocker des Domain Admin dans le vault EPM.
• Vérifier les indicateurs de compromission Microsoft Defender for Endpoint et Sentinel publiés en complément de l'advisory CISA.