Vulnérabilités critiques dans Ivanti Endpoint Manager Mobile : un correctif urgent requis
Par L'équipe rédaction PocketNew
Publié le février 4, 2026
Ivanti, spécialiste de la gestion des appareils mobiles, a récemment mis en lumière deux vulnérabilités critiques affectant son produit Endpoint Manager Mobile (EPMM). Ces failles permettent une exécution de code à distance sans authentification, rendant un correctif rapide impératif pour les entreprises utilisant cet outil. Alors que des preuves de concept publiques circulent, les risques d’attaques opportunistes augmentent, poussant l’ANSSI à recommander une mise à jour immédiate.
L’essentiel à retenir
- Deux failles critiques dans Ivanti Endpoint Manager Mobile permettent une exécution de code à distance sans authentification.
- Les vulnérabilités concernent les versions 12.5 à 12.7 et leurs sous-versions.
- Un correctif sous forme de script RPM est disponible, mais nécessite une réinstallation après chaque mise à jour d’EPMM.
Les vulnérabilités critiques d’Ivanti EPMM
Les deux vulnérabilités, identifiées sous les codes CVE-2026-1281 et CVE-2026-1340, touchent des fonctions essentielles d’Ivanti Endpoint Manager Mobile. EPMM est un outil largement utilisé par les entreprises pour gérer et sécuriser leurs parcs de smartphones et tablettes. Ces brèches permettent à un attaquant de prendre le contrôle du serveur EPMM et de manipuler des données sensibles, telles que les comptes utilisateurs et les politiques de sécurité.
Les vulnérabilités affectent notamment la distribution d’applications internes et le transfert de fichiers Android, principalement sur les installations sur site. Les solutions cloud d’Ivanti, telles que Neurons for MDM, ne sont pas concernées.
Mesures de sécurité immédiates
Ivanti a mis à disposition un correctif sous forme de script RPM, téléchargeable sur son portail. Ce correctif est essentiel pour sécuriser les systèmes affectés, mais il doit être réappliqué après chaque mise à jour jusqu’à la sortie de la version 12.8.0.0, prévue pour le premier trimestre 2026.
Le CERT-FR recommande de vérifier les indices d’exploitation sur les serveurs exposés, notamment en analysant les journaux d’accès Apache pour détecter des requêtes suspectes. En cas de compromission, il est conseillé d’isoler le serveur et de restaurer une sauvegarde saine.
Surveillance et gestion des incidents
Les administrateurs doivent également être vigilants face aux signes de compromission post-exploitation, tels que des accès anormaux aux pages d’erreur HTTP ou des connexions sortantes prolongées. Ces symptômes pourraient indiquer la présence de portes dérobées ou de tentatives d’accès distant non autorisées.
En cas de compromission avérée, il est recommandé de procéder à une restauration complète à partir d’une sauvegarde non affectée plutôt que de tenter un nettoyage partiel. Toutes ces opérations doivent être réalisées hors ligne, avec une réinitialisation des mots de passe et un remplacement des certificats utilisés par EPMM.
Ivanti et le secteur de la gestion des appareils mobiles
Ivanti est un acteur majeur dans la gestion des appareils mobiles, fournissant des solutions pour sécuriser et administrer les parcs informatiques d’entreprises du monde entier. En concurrence avec des entreprises comme VMware et Microsoft, Ivanti se distingue par sa capacité à intégrer divers aspects de la gestion informatique, allant de la sécurité à l’automatisation des services.
Cette récente alerte souligne l’importance de maintenir une sécurité rigoureuse dans un environnement technologique en constante évolution. Les entreprises doivent rester vigilantes face aux menaces et appliquer les correctifs disponibles pour protéger leurs infrastructures essentielles.