Campagne d'attaque Zero-Day d'Ivanti EPMM cible la gestion mobile d'entreprise
Ivanti a révélé le 7 mai 2026 que des attaquants exploitent activement CVE-2024-29847, une vulnérabilité critique d'exécution de code à distance dans sa plateforme Endpoint Manager Mobile (EPMM). La société a émis des avis de sécurité d'urgence avertissant que la faille permet à des attaquants non authentifiés d'exécuter du code arbitraire sur des serveurs EPMM vulnérables via des requêtes réseau spécialement conçues.
La vulnérabilité affecte le mécanisme d'authentification principal de l'interface web d'EPMM, où une validation d'entrée incorrecte permet aux attaquants de contourner les contrôles de sécurité et d'obtenir un accès administratif. Des chercheurs en sécurité ont découvert la faille lors de tests de pénétration de routine des solutions de gestion des appareils mobiles d'entreprise, mais les acteurs de la menace avaient déjà commencé à l'exploiter dans des campagnes ciblées contre des organisations gérant de grandes flottes d'appareils mobiles.
L'équipe de sécurité d'Ivanti a confirmé que les tentatives d'exploitation ont commencé fin avril 2026, avec des attaquants ciblant spécifiquement les organisations de santé, de services financiers et gouvernementales qui dépendent fortement de la gestion des appareils mobiles pour les opérations de main-d'œuvre à distance. La chaîne d'attaque implique l'envoi de requêtes HTTP malformées au point de terminaison d'authentification du serveur EPMM, déclenchant une condition de débordement de tampon qui permet l'injection de code. Une fois réussie, les attaquants obtiennent des privilèges administratifs complets sur l'instance EPMM, y compris l'accès à tous les appareils mobiles gérés, aux applications d'entreprise et aux données de configuration sensibles.
Le catalogue des vulnérabilités exploitées connues de la CISA a ajouté CVE-2024-29847 quelques heures après la divulgation d'Ivanti, soulignant le paysage de menace actif entourant cette vulnérabilité. Les rapports de renseignement indiquent que plusieurs groupes de menaces intègrent désormais cet exploit dans leurs cadres d'attaque, certaines campagnes montrant des caractéristiques cohérentes avec des opérations de menace persistante avancée (APT) ciblant la propriété intellectuelle et les données d'entreprise sensibles accessibles via des plateformes de gestion mobile compromises.
Portée d'impact critique pour les déploiements EPMM à travers les réseaux d'entreprise
La vulnérabilité impacte toutes les versions d'Ivanti Endpoint Manager Mobile antérieures aux correctifs d'urgence publiés le 7 mai 2026. Sont spécifiquement affectées les versions EPMM 11.4 (toutes les versions antérieures à 11.4.14.0), version 11.10 (toutes les versions antérieures à 11.10.16.0), et version 12.0 (toutes les versions antérieures à 12.0.5.0). Les organisations utilisant ces versions avec des serveurs EPMM exposés à Internet courent un risque immédiat de compromission, car la vulnérabilité ne nécessite aucune authentification et peut être exploitée à distance via des connexions HTTPS standard.
Le vecteur d'attaque menace particulièrement les grandes entreprises et les agences gouvernementales qui déploient EPMM pour gérer des milliers d'appareils mobiles à travers des forces de travail distribuées. Les organisations de santé utilisant EPMM pour sécuriser les dispositifs médicaux et les systèmes d'accès aux données des patients courent un risque particulièrement grave, car une exploitation réussie pourrait entraîner des violations de la HIPAA et des préoccupations de sécurité des patients. Les institutions financières gérant des applications bancaires mobiles et des plateformes de trading via EPMM représentent également des cibles de grande valeur pour les attaquants cherchant à accéder aux systèmes financiers et aux données des clients.
Les configurations réseau qui exposent les interfaces administratives EPMM à Internet sans segmentation réseau supplémentaire amplifient considérablement le risque. Les organisations utilisant les configurations par défaut d'EPMM, en particulier celles qui n'ont pas mis en œuvre l'authentification multi-facteurs pour l'accès administratif ou les contrôles d'accès au niveau réseau, font face à la plus grande probabilité d'exploitation réussie. Le score CVSS de la vulnérabilité de 9,1 reflète son vecteur d'attaque basé sur le réseau, l'absence d'interaction utilisateur requise, et la compromission complète du système possible en cas d'exploitation réussie.
Correctifs d'urgence et étapes de mitigation immédiates pour les administrateurs EPMM
Ivanti a publié des correctifs d'urgence pour toutes les versions EPMM affectées le 7 mai 2026, disponibles via le portail client de la société et les mécanismes de mise à jour automatique. Les administrateurs doivent immédiatement mettre à niveau vers EPMM 11.4.14.0, 11.10.16.0, ou 12.0.5.0 selon leur version de déploiement actuelle. Les correctifs traitent le défaut de validation d'entrée sous-jacent dans le sous-système d'authentification et mettent en œuvre des contrôles de sécurité supplémentaires pour prévenir des techniques d'exploitation similaires.
Les organisations incapables d'appliquer les correctifs immédiatement devraient mettre en œuvre des mitigations au niveau réseau pour réduire le risque d'exposition. Cela inclut la restriction de l'accès au serveur EPMM à des plages d'IP de confiance via des règles de pare-feu, la mise en œuvre d'une protection par pare-feu d'application web (WAF) avec des règles spécifiquement conçues pour bloquer les requêtes d'authentification malformées, et l'activation de la journalisation complète pour toutes les activités administratives EPMM. Les administrateurs réseau devraient également envisager de désactiver temporairement l'accès EPMM exposé à Internet et d'exiger des connexions VPN pour toutes les opérations administratives jusqu'à ce que les correctifs puissent être déployés.
Les conseils de détection incluent la surveillance des journaux du serveur EPMM pour des modèles d'authentification inhabituels, en particulier les tentatives de connexion échouées suivies d'un accès administratif réussi depuis la même IP source. Les équipes de sécurité devraient examiner le trafic réseau pour des requêtes HTTP contenant des encodages de caractères inhabituels ou des valeurs de paramètres surdimensionnées ciblant les points de terminaison d'authentification EPMM. La vulnérabilité laisse des indicateurs spécifiques dans les journaux système, y compris des événements de création de processus avec des privilèges élevés générés à partir du contexte de service EPMM et des connexions réseau initiées par des processus EPMM vers des adresses IP externes non associées aux opérations normales de gestion des appareils mobiles.
La récupération post-compromission nécessite une reconstruction complète du serveur EPMM à partir de sauvegardes connues comme étant bonnes, une analyse approfondie de tous les appareils mobiles gérés pour détecter des signes de modifications de configuration non autorisées ou d'installations d'applications malveillantes, et un audit complet de toutes les actions administratives effectuées pendant la fenêtre de compromission potentielle. Les organisations devraient également revoir et faire tourner tous les certificats, clés API, et identifiants administratifs associés à leur déploiement EPMM dans le cadre du processus de récupération.
