CVE-2026-6973 : Ivanti EPMM zero-day RCE actif au KEV

Les faits

Ivanti a confirmé le 6 mai 2026 qu''un nouveau zero-day visant son produit Endpoint Manager Mobile (EPMM) faisait l''objet d''une exploitation active dans des attaques ciblées. CVE-2026-6973 est une vulnérabilité d''improper input validation (CWE-20) qui permet à un utilisateur authentifié disposant de privilèges administratifs sur la console EPMM d''exécuter du code arbitraire à distance sur le serveur de gestion. Le score CVSS 3.1 atteint 7.2, l''exigence d''authentification administrateur tempérant un impact qui reste majeur : compromission complète du serveur de management mobile, donc de l''ensemble du parc d''appareils géré.

Selon CyberScoop et BleepingComputer, Ivanti indique avoir observé une exploitation in-the-wild dans un nombre limité de cas, sans nommer publiquement les victimes ni l''acteur responsable. Les chercheurs notent toutefois que les déploiements EPMM sont historiquement ciblés par des groupes APT alignés sur des intérêts étatiques, comme l''avait montré la chaîne d''exploitation CVE-2023-35078/CVE-2023-35081 et plus récemment CVE-2026-1281 (Ivanti EPMM Bash RCE pré-auth). La capacité à compromettre un serveur de gestion mobile offre un point de pivot d''une valeur opérationnelle considérable : exfiltration de configurations d''appareils, distribution de profils malveillants, obtention de jetons d''authentification.

CISA a ajouté CVE-2026-6973 au catalogue Known Exploited Vulnerabilities le 7 mai 2026, fixant aux agences fédérales américaines une échéance de remédiation au 10 mai 2026. La rapidité de cette inscription, combinée à un délai de remédiation court, traduit la confiance de CISA dans les preuves d''exploitation réelles fournies par Ivanti et ses partenaires de threat intelligence. Le CERT-FR devrait reprendre l''alerte dans son flux d''avis CERTFR-AVI dans les heures qui suivent.

Sur le plan technique, la faille touche un endpoint d''administration de la console EPMM qui ne valide pas correctement les paramètres d''entrée passés par un administrateur authentifié. Selon l''advisory Ivanti et les analyses de The Hacker News, l''attaquant disposant d''un compte administrateur valide peut injecter une commande shell via un paramètre spécifique, qui est ensuite exécutée par le processus de la console avec les privilèges de l''utilisateur applicatif EPMM. La condition d''authentification administrateur peut sembler limitante, mais elle se combine fréquemment avec d''autres faiblesses : credentials par défaut oubliés, comptes administrateurs avec mots de passe faibles, ou exploitation préalable via une vulnérabilité de bypass d''authentification comme CVE-2026-1281 patchée plus tôt cette année.

Ivanti a publié simultanément des correctifs pour quatre autres vulnérabilités EPMM identifiées lors du même cycle de patch : CVE-2026-5786 (CVSS 8.8), CVE-2026-5787 (CVSS 8.9), CVE-2026-5788 (CVSS 7.0) et CVE-2026-7821 (CVSS 7.4). Plusieurs d''entre elles touchent également des problèmes de validation d''entrée et de contrôle d''accès, ce qui suggère un audit interne ou externe ayant identifié un pattern récurrent dans l''application. Les versions correctives sont EPMM 12.6.1.1, 12.7.0.1 et 12.8.0.1, à appliquer dès que possible sur l''ensemble des instances on-premise.

L''écosystème Ivanti reste sous tension constante depuis 2023 avec une succession de vulnérabilités critiques affectant Connect Secure, Sentry, Avalanche, Endpoint Manager et EPMM. Cette accumulation a conduit plusieurs administrations et entreprises à reconsidérer leur dépendance à ces produits, voire à initier des migrations vers des solutions concurrentes. Pour CVE-2026-6973 spécifiquement, l''exploitation in-the-wild observée par Ivanti suggère que des comptes administrateurs ont été compromis en amont, ce qui élargit le spectre des actions de remédiation au-delà du simple patch : il faut auditer les comptes, les mots de passe, et rechercher des indicateurs de mouvement latéral à partir du serveur EPMM.

Aucun PoC public n''a été publié à la date du 7 mai 2026, mais la fenêtre de temps avant qu''un exploit reproductible n''émerge sur GitHub ou dans des kits commerciaux est généralement de quelques jours pour ce type de vulnérabilité d''injection post-authentification. Les organisations qui n''appliquent pas le patch rapidement s''exposent donc à un élargissement rapide du périmètre d''attaque, des acteurs opportunistes vers des acteurs financièrement motivés et ransomware operators.

Comme pour les précédents incidents Ivanti, l''ANSSI et le CERT-FR insistent sur le fait que la simple application du correctif n''est pas suffisante en cas de soupçon de compromission préalable. Les bonnes pratiques imposent un examen minutieux des journaux d''audit administrateur EPMM, une rotation des mots de passe administratifs et des secrets d''intégration (MDM tokens, certificats APNS pour iOS, comptes de service Active Directory), et une revue des profils MDM déployés à la recherche de modifications suspectes.

Impact et exposition

L''exposition concerne les organisations exploitant Ivanti EPMM en mode on-premise, principalement dans les grands comptes, les administrations et les secteurs régulés (santé, finance, défense) qui ont préféré l''auto-hébergement à la version Cloud Ivanti Neurons. Ces déploiements gèrent typiquement plusieurs milliers, voire dizaines de milliers d''appareils mobiles, ce qui en fait une cible de premier choix pour des attaquants visant l''espionnage à grande échelle.

L''exigence d''authentification administrateur réduit la surface d''attaque externe directe, mais la combinaison avec un vol de credentials, une faille de bypass complémentaire ou une attaque par phishing ciblé sur un administrateur EPMM permet d''aboutir au même résultat qu''une exploitation pré-authentifiée. CISA et Ivanti recommandent donc de considérer le risque comme équivalent à un RCE non authentifié dans toute évaluation de criticité.

Les conséquences post-exploitation incluent l''accès à l''ensemble des données de configuration des appareils gérés, la possibilité de pousser des profils MDM malveillants pour installer des certificats racines attaquant, capter le trafic ou installer des applications de surveillance, et l''accès aux jetons d''intégration avec les annuaires d''entreprise. La compromission d''un EPMM peut donc servir de tête de pont vers une compromission plus large du système d''information.

En France, plusieurs grandes entreprises et opérateurs de services essentiels exploitent Ivanti EPMM. La fenêtre de patch courte (10 mai 2026) et la confirmation d''exploitation in-the-wild justifient un déploiement en urgence selon une procédure de gestion des changements accélérée.

Recommandations immédiates

• Appliquer immédiatement les correctifs Ivanti — advisory Ivanti Security Advisory KB-CVE-2026-6973 ; versions cibles : EPMM 12.6.1.1, 12.7.0.1 ou 12.8.0.1 (selon la branche en production) — patch également CVE-2026-5786, 5787, 5788 et 7821.
• Auditer les journaux d''accès administrateur de la console EPMM sur les 90 derniers jours à la recherche de connexions inhabituelles, d''actions administrateur en dehors des heures ouvrées, ou d''appels API atypiques.
• Faire pivoter l''ensemble des mots de passe administrateurs EPMM, des secrets d''intégration MDM (jetons APNS, certificats SCEP, comptes de service Active Directory ou LDAP), et révoquer/régénérer les tokens d''API utilisés par les intégrations tierces.
• Mettre en place une authentification multifacteur (MFA) sur tous les comptes administrateurs EPMM si ce n''est pas déjà fait, et restreindre l''accès à la console d''administration aux postes administrateurs depuis un bastion ou un VPN dédié.
• Surveiller le trafic sortant du serveur EPMM pendant les semaines suivant l''application du patch, à la recherche de communications avec des destinations inconnues qui pourraient indiquer un implant déposé avant la remédiation.