[MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier 2026)
[Mise à jour du 02 février 2026] Une preuve de concept est disponible publiquement. [Publication initiale] Le 28 janvier 2026, Ivanti a publié un avis de sécurité concernant les vulnérabilités critiques CVE-2026-1281
Résumé
[Mise à jour du 02 février 2026]Une preuve de concept est disponible publiquement.
[Publication initiale]Le 28 janvier 2026, Ivanti a publié un avis de sécurité concernant les vulnérabilités critiques CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile. L'éditeur indique qu'elles permettent à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Ivanti indique que les vulnérabilités CVE-2026-1281 et CVE-2026-1340 sont activement exploitées dans le cadre d'attaques ciblées.
Recherche de compromission
En cas de suspicion de compromission, l'éditeur recommande :
- d'isoler totalement les équipements EPMM et Sentry concernée du réseau, vis-à-vis d'Internet comme du réseau interne ;
Note : Sentry est conçu pour acheminer certains types de trafic depuis les terminaux mobiles vers le réseau interne. Si vous pensez que votre équipement EPMM est compromis, Ivanti recommande d'examiner les systèmes auxquels Sentry peut accéder afin de détecter d'éventuelles traces de reconnaissances ou de mouvements latéraux. - de réaliser un instantané ou effectuer une sauvegarde du disque ;
- de rechercher les tentatives d'exploitations dans les journaux d'accès Apache
/var/log/httpd/https-access_log.
Les caractéristiques des requêtes HTTP malveillantes sont décrites ci-dessous :
| Caractéristiques HTTP | Valeur(s) à rechercher |
|---|---|
| Méthode HTTP | GET |
| Chemin d'accès | /mifs/c/aftstore/fob/
/mifs/c/appstore/fob/ |
| Code HTTP | 404 |
| Paramètres | contenant des commandes bash |
Les instances d'ivanti EPMM avec le correctif de sécurité appliqué produiront des faux positifs suivants lors de la recherche de requêtes HTTP malveillantes qui ressemblent à l'exemple ci-dessous :
127.0.0.1:33354 - - 2026-01-28--12-00-01 "GET /mifs/c/aftstore/fob/3/0/sha256:kid=0 HTTP/1.1" 404
Deux moyens de persistance sont connus à ce jour par l'éditeur :
- le déploiement de différentes consoles web malveillantes (webshells), en modifiant des pages d'erreur HTTP tel que
401.jspou en introduisant des fichiers WAR ou JAR ; - le déploiement d'invite de commande inverse (reverse shell).
Toute requête vers des pages d'erreur HTTP utilisant la méthode POST ou des paramètres doit être considérée comme une suspicion de communication avec une porte dérobée.Toute connexion de longue durée initiée par un Ivanti EPMM doit être considérée comme une suspicion de communication par un invite de commande inverse.
Remédiation
En cas de compromission, l'éditeur préconise de :
- restaurer une sauvegarde saine d'un Ivanti EPMM [1] ;
- s'il n'est pas possible de récupérer l'EPMM à partir d'une sauvegarde, Ivanti recommande de créer un EPMM de remplacement, puis de migrer les données vers celui-ci ;
- réinitialiser les mots de passe de tous les comptes EPMM locaux ;
- réinitialiser les mots de passe de tous les comptes de service LDAP et KDC [2] ;
- révoquer et remplacer les certificats publics utilisés par l'EPMM [3] ;
- réinitialiser les mots de passe de tous les comptes de service interne ou externe configuré avec EPMM.
- Vues : 167