Nouvelle faille zero-day exploitée chez Ivanti : les clients doivent agir rapidement

Une nouvelle faille zero-day exploitée dans Ivanti EPMM

Les clients d'Ivanti font face à une nouvelle faille zero-day activement exploitée dans l'un de ses produits les plus ciblés. Dans un avis de sécurité publié jeudi, l'entreprise a révélé que des attaquants ont exploité CVE-2026-6973, une vulnérabilité de validation d'entrée incorrecte dans Ivanti Endpoint Manager Mobile (EPMM).

Cette faille permet à un utilisateur authentifié disposant de privilèges administratifs d'exécuter du code à distance. Bien qu'Ivanti affirme avoir connaissance d'une exploitation limitée de cette vulnérabilité, le nombre exact de victimes et la date du premier incident restent inconnus.

Quatre autres vulnérabilités critiques corrigées

En plus de la faille zero-day, Ivanti a publié des correctifs pour quatre autres vulnérabilités de haute gravité dans EPMM :

• CVE-2026-5787
• CVE-2026-5788
• CVE-2026-6973
• CVE-2026-7821

Selon Ivanti, ces défauts n'ont pas encore été exploités dans la nature. L'entreprise a précisé que ces vulnérabilités ont été découvertes récemment grâce à ses processus internes de détection, soutenus par l'intelligence artificielle et la collaboration avec ses clients.

Un risque lié aux anciennes failles zero-day

Ivanti suggère que la nouvelle faille pourrait être liée à deux autres vulnérabilités critiques, CVE-2026-1281 et CVE-2026-1340, exploitées depuis fin janvier. Ces failles ont déjà touché près de 100 victimes, dont l'Autorité néerlandaise de protection des données et le Conseil pour la magistrature.

Contrairement à ces anciennes failles, qui étaient exploitables à distance sans authentification, CVE-2026-6973 nécessite des droits administratifs pour être exploitée. Ivanti recommande aux clients ayant suivi ses conseils de janvier — notamment la rotation des identifiants EPMM — de réduire significativement leur exposition au risque.

Réactions des experts en cybersécurité

« Le fait que cette faille nécessite des privilèges administratifs suggère qu'elle pourrait avoir été exploitée dans le cadre d'une chaîne d'attaque reposant sur une autre méthode d'accès initial », a déclaré Caitlin Condon, vice-présidente de la recherche en sécurité chez VulnCheck. Elle a également souligné que les deux anciennes failles, CVE-2026-1281 et CVE-2026-1340, avaient été exploitées par des groupes attribués à la Chine et à l'Iran.

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la nouvelle faille zero-day à son catalogue des vulnérabilités connues pour être exploitées, quelques heures seulement après l'avis d'Ivanti.

Appel à l'action pour les entreprises

Les attaques ciblant les vulnérabilités d'Ivanti EPMM sont un problème récurrent pour les clients de l'entreprise. Les experts en sécurité recommandent d'appliquer sans délai les correctifs publiés par Ivanti pour limiter les risques d'exploitation.

Les entreprises utilisant Ivanti EPMM sont invitées à :

• Installer immédiatement les correctifs disponibles.
• Vérifier les journaux d'activité pour détecter d'éventuelles compromissions.
• Renforcer les politiques d'authentification et de gestion des privilèges.

Contexte des vulnérabilités récurrentes chez Ivanti

Ivanti, un acteur majeur dans le domaine des solutions de gestion des terminaux et de la sécurité réseau, a été régulièrement ciblé par des cyberattaquants ces dernières années. Les vulnérabilités dans ses produits, notamment EPMM, ont souvent été exploitées pour des attaques sophistiquées, mettant en lumière les défis de sécurité persistants auxquels sont confrontés les fournisseurs de solutions réseau.