Vulnérabilités critiques dans Ivanti Endpoint Manager Mobile
.png)
Produits concernés
• Endpoint Manager Mobile versions 12.5.0.0 et antérieures
• Endpoint Manager Mobile versions 12.5.1.0 et antérieures
• Endpoint Manager Mobile versions 12.6.0.0 et antérieures
• Endpoint Manager Mobile versions 12.6.1.0 et antérieures
• Endpoint Manager Mobile versions 12.7.0.0 et antérieures
Prérequis
• Accès réseau à l’interface web
Risques
• Exécution de code arbitraire sur l’appliance
• Accès au réseau interne de l’entreprise
• Exfiltration de données sensibles
• Déploiement de malware sur les actifs gérés par la solution
Résumé
Des vulnérabilités critiques de type “Exécution de code” affectant la solution Ivanti Endpoint Manager Mobile ont récemment été publiées par l’éditeur Ivanti.
Le niveau de criticité initial de ces vulnérabilités est de 9.8 (score CVSSv3.1).
- CVE-2026-1281 & CVE-2026-1340 : Des vulnérabilités dans la solution Ivanti EPMM affectent le module de distribution d'applications et de configuration du transfert de fichiers vers Android. Celles-ci peuvent permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur le système portant la solution. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité. Une fois la vulnérabilité exploitée, l’attaquant aura ainsi accès à l’équipement. Il pourra donc interagir avec celui-ci.
L’exploitation de ces CVE pourrait permettre à l’attaquant à minima une compromission complète du système (exécution de commande), une latéralisation dans l’infrastructure et de l’exfiltration de données sensibles.
A l’heure actuelle, des traces d’exploitation par des groupes d’attaquants existent. Aucun exploit publiquement disponible n’a été recensé pour le moment.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet.
Solutions
Détection de la compromission :
Afin de vérifier si un équipement est compromis, vous pouvez :
• Rechercher des tentatives d'exploitation dans les journaux d'accès Apache /var/log/httpd/https-access_log. L'expression régulière suivante peut être utilisée pour trier rapidement les logs :
^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
L’éditeur précise que les logs peuvent être manipulés par un acteur ayant réussi à exploiter le système.
D’après l’expérience de l’éditeur, deux moyens de persistance sont connus sur cette typologie de vulnérabilité :
• Le déploiement de contenus web malveillants via la modification de page d’erreur HTTP (par exemple 401.jsp) ou bien l’introduction de fichiers WAR ou JAR sur le système.
• Le déploiement de reverse shell et la communication vers des adresses IP suspectes.
En cas de compromission, l’éditeur préconise plusieurs actions décrites dans les liens en références.
Remédiation :
Mettre à jour Ivanti EPMM avec les correctifs suivants :
• RPM 12.x.0.x
• RPM 12.x.1.x
Le détail est disponible dans les liens en références.
Mitigation :
• Restreindre l’accès à l’interface web de la solution.
Références
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
