CVE-2026-8111 : SQLi RCE Ivanti Endpoint Manager (8.8)

Les faits

Dans son Patch Tuesday de mai 2026, l'éditeur Ivanti a publié quatre advisories de sécurité couvrant sept vulnérabilités réparties sur Secure Access Client, Xtraction, Virtual Traffic Manager et Endpoint Manager. La plus critique du lot est CVE-2026-8111, une injection SQL dans la console web d'Ivanti Endpoint Manager (EPM) notée CVSS 8.8 (vecteur AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). La particularité — et le danger — de cette faille est qu'elle ne requiert qu'un compte utilisateur authentifié de bas privilège, et permet d'escalader directement vers une exécution de code arbitraire à distance sur le serveur EPM.

Selon l'advisory Ivanti et les analyses publiées par CCB Belgium et Intrucept Labs, la chaîne d'exploitation se déroule en deux temps. Premièrement, l'attaquant authentifié injecte une requête SQL malformée dans un paramètre vulnérable de la console web. Deuxièmement, l'injection s'exécute dans le contexte de l'utilisateur "reporting database user" — un compte hautement privilégié de la base de données EPM dont l'accès permet d'invoquer xp_cmdshell sur Microsoft SQL Server, ouvrant ainsi la voie à l'exécution de commandes système arbitraires sur le serveur hébergeant la base de données.

Le rôle d'Ivanti EPM dans les infrastructures explique la criticité : il s'agit du serveur central de gestion de parc qui orchestre le déploiement de patches, la prise de main à distance, l'inventaire matériel/logiciel et l'exécution de scripts sur tous les postes administrés. Un attaquant compromettant un serveur EPM dispose donc d'un canal de distribution privilégié pour pousser un payload (ransomware, beacon C2, keylogger) vers l'ensemble des endpoints administrés — typiquement plusieurs milliers de postes pour une entreprise de taille moyenne.

D'un point de vue technique, la racine de la vulnérabilité réside dans une construction de requête SQL via concaténation de chaînes plutôt que par requêtes paramétrées — un anti-pattern classique mais persistant dans les codebases legacy. Le composant vulnérable est la console web (interface admin HTTPS), et la condition d'exploitation est de posséder n'importe quel compte authentifié, qu'il soit administrateur, technicien helpdesk ou simple utilisateur lecture-seule. Cette barrière d'authentification est cosmétique : dans la plupart des déploiements EPM, des dizaines voire des centaines de techniciens disposent de comptes ; un compte compromis (phishing, fuite Lapsus$, brute-force) suffit à enclencher la chaîne.

D'après le bulletin du CERT-FR de mai 2026 et l'advisory Ivanti hub.ivanti.com, CVE-2026-8111 fait partie d'un lot plus large de vulnérabilités Endpoint Manager — l'éditeur a en effet divulgué simultanément plusieurs SQLi connexes (CVE-2026-8109 fuite d'identifiants, CVE-2026-8110 élévation de privilèges). L'équipe sécurité d'Ivanti a confirmé avoir utilisé des modèles de langage (LLM) intégrés dans ses workflows red team pour identifier ces vulnérabilités, qui ont été détectées dans une classe de bugs souvent manquée par les outils SAST/DAST traditionnels. Cette divulgation simultanée multi-CVE est typique des audits de profondeur menés sur une code base mature.

L'exploitation in-the-wild n'est pas confirmée à la date de publication, mais Ivanti EPM est une cible récurrente. Le précédent zero-day Ivanti EPM RCE divulgué fin 2025 (CVE-2025-9201) avait été exploité par les groupes Cl0p et ALPHV/BlackCat dans des campagnes de ransomware contre des MSP et grandes entreprises. Les courtiers d'accès initiaux (Initial Access Brokers) revendent typiquement les accès EPM compromis sur les forums underground pour 5 000 à 25 000 USD selon la taille du parc géré.

La fenêtre d'exploitation s'annonce courte. Bien qu'aucun PoC public ne soit encore disponible, la nature de la vulnérabilité (SQLi → xp_cmdshell) est triviale à reproduire pour tout pentester intermédiaire. Les outils automatisés type sqlmap peuvent identifier le paramètre vulnérable en quelques minutes, et l'escalation vers une exécution de commande via xp_cmdshell est un pattern documenté depuis 20 ans dans les manuels OWASP. L'observation des honeypots Ivanti par GreyNoise dans les 5 prochains jours sera déterminante pour valider la timeline d'exploitation massive.

Il faut également noter qu'Ivanti EPM est largement déployé dans le secteur de la santé, de l'éducation et des collectivités territoriales en France et en Europe — autant de cibles privilégiées pour les groupes de ransomware. L'ANSSI a régulièrement alerté sur la gestion des outils MDM/EMS comme vecteur d'entrée privilégié des incidents majeurs ; CVE-2026-8111 entre dans cette catégorie.

Impact et exposition

Les organisations exposées sont celles ayant déployé Ivanti Endpoint Manager dans une version antérieure à 2024 SU6, avec un déploiement de la console web accessible sur le réseau interne ou — pire — exposée à internet via un reverse proxy. L'exposition internet directe n'est pas la norme mais existe chez des MSP gérant plusieurs clients à distance, ainsi que dans certaines configurations cloud-hybrides mal segmentées.

La condition d'exploitation est l'authentification : tout compte EPM, qu'il soit administrateur, technicien support de niveau 1, ou utilisateur en lecture seule, peut servir de point de départ. La surface d'attaque s'étend donc à l'ensemble du personnel disposant d'accès, plus les comptes de service utilisés par les automatisations. Un phishing ciblé sur un technicien helpdesk, ou la réutilisation d'un mot de passe compromis dans une fuite tierce, devient un vecteur viable.

L'impact post-exploitation est catastrophique : exécution de code sur le serveur EPM avec les privilèges du compte de service SQL Server, fréquemment configuré en LocalSystem ou compte de domaine privilégié. À partir de là, l'attaquant peut : (1) déployer un payload sur l'ensemble des endpoints administrés via les mécanismes natifs EPM, (2) extraire les credentials stockés dans la base EPM (mots de passe locaux des postes, BitLocker recovery keys dans certaines configurations), (3) pivoter latéralement vers le contrôleur de domaine via les comptes de service privilégiés.

Aucune exploitation publique confirmée à ce jour, mais le précédent historique des CVE Ivanti (Connect Secure, EPMM, EPM 2025) montre une intégration rapide aux kits ransomware dans les 10 à 21 jours suivant la divulgation. Les secteurs les plus exposés en France sont la santé (CHU, GHT), l'éducation supérieure (universités, grandes écoles), les collectivités (mairies, départements) et les MSP gérant des PME.

Recommandations immédiates

• Appliquer Ivanti Endpoint Manager 2024 SU6 immédiatement — advisory : Ivanti EPM May 2026 Security Advisory.
• Mitigation temporaire si patch impossible : retirer le compte "reporting database user" de la configuration EPM (désactive les rapports mais bloque la chaîne SQLi → xp_cmdshell).
• Désactiver xp_cmdshell sur l'instance SQL Server hébergeant la base EPM via la commande sp_configure (mitigation défense en profondeur).
• Restreindre l'accès à la console web EPM aux seules IP des postes d'administration via firewall ou ACL applicative.
• Auditer les comptes utilisateurs EPM : désactiver les comptes inactifs depuis 30 jours, forcer la rotation des mots de passe, activer la MFA si supportée.
• Surveiller les logs SQL Server pour les requêtes anormales contenant xp_cmdshell, EXEC, sp_executesql ou des chaînes encodées (UTF-16, hex) typiques des SQLi.
• Bloquer l'accès internet à la console EPM ; un MDM/EMS ne doit jamais être exposé sur le web public.