- Ivanti a corrigé deux défauts enchaînés pour monter des attaques RCE
- Un «nombre limité» d’entreprises auraient été compromises
- Seuls les produits sur site sont affectés
Ivanti a publié un correctif pour deux vulnérabilités dans son logiciel Mobile Manager Endpoint Manager (EPMM), qui aurait été enchaîné dans les attaques d’exécution de code à distance (RCE) dans la nature.
Les vulnérabilités sont suivies sous le nom de CVE-2025-4427 et CVE-2025-4428. Le premier est un contournement d’authentification dans l’API d’EPMM, permettant aux acteurs de la menace d’accéder aux ressources protégées. Il a été attribué à un score moyen de 5,3.
Ce dernier est une vulnérabilité RCE exploitée par le biais de demandes d’API conçues malveillantes. Celui-ci a reçu un score de gravité élevé (7,2 / 10).
Ivanti dit qu’il est vu avoir abusé dans les attaques: “Lorsqu’elle est enchaînée, une exploitation réussie pourrait conduire à une exécution non authentifiée du code distant”, a déclaré la société dans un avis de sécurité. “Nous sommes conscients d’un nombre très limité de clients dont la solution a été exploitée au moment de la divulgation.”
Pour résoudre le problème, les utilisateurs doivent installer Ivanti Endpoint Manager Mobile 11.12.0.5, 12.3.0.2, 12.4.0.2 ou 12.5.0.1.
“Le problème n’affecte que le produit EPMM sur prém. “Nous exhortons tous les clients utilisant le produit EPMM sur prém pour installer rapidement le correctif.”
Le logiciel EPMM d’Ivanti est une solution populaire dans différentes industries, notamment les soins de santé, l’éducation, la logistique, la fabrication et le gouvernement. Selon le ShadowServer, il y a actuellement des centaines de cas exposés, principalement en Allemagne (992), mais avec un nombre important aux États-Unis (418).
Ceux qui ne peuvent pas appliquer le correctif pour le moment peuvent implémenter différentes solutions de contournement. Ivanti a déclaré que ces utilisateurs devraient suivre les conseils de meilleure pratique ou filtrer l’accès à l’API à l’aide de la fonctionnalité du portail intégré ACL, soit un WAF externe. Plus de détails sur l’utilisation de la fonctionnalité ACL du portail peuvent être trouvés ici.
Via Bleepingcomputer
