3. mai 2026 | Imprimer l'article |

Le BSI met en garde contre les systèmes Ivanti non corrigés

7 min. de lecture

Deux zero-days affectant Ivanti EPMM ont été exploités en série fin avril 2026 : 130 adresses IP uniques ont activement sondé les vulnérabilités dans les 24 heures suivant leur divulgation. Le BSI, la CISA et le NHS England ont publié des alertes simultanées. Pour les opérateurs KRITIS, les administrations et les organisations gérant des environnements MDM de production sur base Ivanti, une intervention immédiate s’impose.

Les points clés en bref

  • Deux zero-days dans Ivanti EPMM. CVE-2025-4427 (Authentication Bypass, CVSS 9.8) et CVE-2025-4428 (Remote Code Execution via API). Combinés, ils permettent une RCE non authentifiée sans interaction utilisateur.
  • 130 IP exploitées en 24 h. La Shadowserver Foundation a recensé 130 adresses IP d’attaquants uniques dans les 24 heures suivant la divulgation. Le code d’exploitation est disponible publiquement.
  • Alerte BSI 2026-221601-1032 active. Le BSI a publié sa propre alerte de plus haute priorité. Le NHS England et la CISA ont également diffusé des alertes parallèles.
  • Les environnements MDM KRITIS particulièrement concernés. Ivanti EPMM est utilisé par les administrations, les hôpitaux et les opérateurs KRITIS pour la gestion des appareils mobiles. Un serveur MDM compromis donne aux attaquants un accès à l’ensemble des appareils gérés.

Qu’est-ce qu’Ivanti EPMM ? Ivanti Enterprise Mobility Management (EPMM) est une plateforme MDM sur site (on-premise) que les organisations utilisent de manière centralisée pour gérer, configurer et sécuriser les appareils mobiles. EPMM contrôle l’accès aux appareils, le déploiement des applications, les profils VPN et la distribution des certificats pour tous les smartphones, tablettes et ordinateurs portables connectés d’une organisation.

À lire aussi : CISA KEV avril 2026 : Samsung MagicINFO, SimpleHelp et D-Link sous exploitation active

Les vulnérabilités en détail : Authentication Bypass et RCE

CVE-2025-4427 est un Authentication Bypass dans l’API REST d’Ivanti EPMM. La vulnérabilité permet aux attaquants d’appeler des points de terminaison API qui nécessitent normalement une authentification – sans informations d’identification valides. Score CVSS de 9,8, classé comme critique. Toutes les versions d’EPMM antérieures au patch du 30 avril 2026 sont affectées.

CVE-2025-4428 est une vulnérabilité d’exécution de code distant qui peut être exploitée via l’API REST. À elle seule, elle a un impact limité – mais en combinaison avec CVE-2025-4427, la chaîne d’attaque est complète : contournement de l’authentification, puis RCE sur le serveur EPMM. La combinaison permet une exécution de code non authentifiée sur le serveur MDM sans interaction utilisateur.

Ce qui rend la situation particulièrement dangereuse : Ivanti a publié les correctifs le 30 avril. Le code d’exploitation était disponible publiquement dans les heures suivant la divulgation, selon la Shadowserver Foundation. 130 adresses IP uniques ont tenté d’exploiter activement – dans les premières 24 heures après la divulgation.

Chaîne d’attaque en trois étapes

Étape 1

Contournement de l’authentification via CVE-2025-4427 – aucun compte requis

Étape 2

RCE via CVE-2025-4428 sur l’API REST en tant qu’utilisateur authentifié

Étape 3

Accès complet au serveur MDM – tous les appareils gérés accessibles

Ivanti EPMM, un récidiviste : l’historique des vulnérabilités

Ce n’est pas le premier incident critique d’Ivanti. Déjà en 2024, Ivanti Connect Secure et Policy Secure avaient été massivement affectés – plusieurs zero-days avaient été activement exploités avant que des correctifs ne soient disponibles. La CISA américaine avait dû émettre une directive d’urgence et avait exigé que les agences fédérales déconnectent immédiatement les systèmes du réseau.

Avec EPMM 2026, le schéma se répète – avec une différence cruciale : la vitesse d’exploitation s’est accélérée. 24 heures entre la divulgation et 130 adresses IP d’attaquants documentées est exceptionnellement rapide et suggère des kits d’exploitation préparés ou des acteurs de menaces coordonnés. Le catalogue KEV de la CISA a immédiatement inclus les deux CVE.

Le BSI a explicitement souligné dans son avertissement 2026-221601-1032 la pertinence pour les opérateurs KRITIS allemands. L’avertissement est considéré comme une alerte prioritaire de niveau 1 et ne se limite pas à une simple redirection de la recommandation de la CISA – un signe que le BSI dispose de ses propres informations sur les systèmes allemands potentiellement affectés.

Pertinence KRITIS : pourquoi l’infrastructure MDM est critique

Ivanti EPMM est largement utilisé en Allemagne comme solution de gestion des appareils mobiles pour les autorités, les établissements de santé et les opérateurs KRITIS. Un serveur MDM compromis n’est pas un problème isolé – c’est le système de contrôle central pour tous les appareils mobiles gérés d’une organisation.

Ce que les attaquants peuvent accomplir avec un accès au serveur MDM : pousser des profils de configuration pour les appareils (VPN, e-mail, certificats), gérer les applications sur tous les appareils, supprimer ou verrouiller les appareils à distance, extraire les informations d’accès au réseau configurées sur les appareils. Pour les opérateurs KRITIS, cela signifie : un serveur MDM compromis est un accès à tous les appareils gérés – et potentiellement au réseau derrière.

Le NHS England a été identifié comme l’un des premiers systèmes affectés. En Allemagne, le BSI a émis l’avertissement 2026-221601-1032 et a exigé que les opérateurs d’Ivanti EPMM procèdent immédiatement à une vérification. L’article 21 de la NIS2 oblige les organisations affectées à remédier rapidement aux vulnérabilités critiques connues. Quiconque n’a pas encore corrigé la vulnérabilité et trouve des signes de compromission est soumis à l’obligation de notification NIS2 avec une alerte précoce de 24 heures.

Ce que les administrateurs MDM doivent faire dès maintenant

Mesures immédiates

  • Appliquer les correctifs sur Ivanti EPMM (les correctifs sont disponibles depuis le 30.04.2026)
  • Retirer le serveur EPMM d’Internet s’il ne peut pas être corrigé immédiatement
  • Vérifier les journaux REST-API à la recherche de requêtes inattendues (derniers 30 jours)
  • Comparer les indicateurs de compromission de l’avertissement du BSI

Renforcement à moyen terme

  • Réduire l’accès à l’interface de gestion EPMM à un VLAN dédié
  • Limiter l’accès API aux IP d’administrateurs connues
  • Mettre en place une alerte SIEM sur les appels API MDM inhabituels
  • Revoir le plan de réponse aux incidents en cas de compromission MDM

Pour les organisations qui ne peuvent pas appliquer immédiatement le correctif à EPMM, la segmentation réseau est le seul contournement acceptable. Laisser le port de gestion accessible via Internet public est une option inacceptable en cas d’exploitation active connue. Les exploitants de KRITIS doivent également vérifier si EPMM figure dans leur catalogue d’éléments critiques soumis à déclaration.

Sources : Conseil de sécurité Ivanti, avertissement BSI 2026-221601-1032, Shadowserver Foundation avril 2026, catalogue CISA KEV.

Foire aux questions

Quelles versions d’Ivanti EPMM sont concernées par les vulnérabilités Zero-Day ?

CVE-2025-4427 et CVE-2025-4428 affectent toutes les versions d’Ivanti EPMM antérieures à la sortie du correctif du 30 avril 2026. Ivanti a publié des correctifs pour toutes les branches soutenues. Les versions non prises en charge ne recevront aucun correctif — dans ce cas, la segmentation réseau immédiate ou la migration est la seule option.

Comment cette alerte diffère-t-elle des précédentes alertes Ivanti ?

Les produits Ivanti avaient déjà été ciblés à plusieurs reprises en 2024 et 2025 (Connect Secure, Policy Secure). La différence avec EPMM 2026 : l’exploitation a été exceptionnellement rapide (24 h), l’impact sur l’infrastructure MDM particulièrement étendu, et les alertes simultanées du BSI, de la CISA et du NHS England suggèrent une observation coordonnée.

Quels sont les indicateurs de compromission (IoC) pour CVE-2025-4427/4428 ?

Les IoC spécifiques sont listés dans l’avertissement BSI 2026-221601-1032 et dans le conseil de sécurité Ivanti. Dans les journaux REST-API, il faut repérer des accès inhabituels aux points de terminaison protégés sans jeton de session valide. Shadowserver fournit également une liste d’adresses IP connues des attaquants.

Les exploitants de KRITIS doivent-ils déclarer cet incident ?

Si la vulnérabilité a été exploitée (signes de compromission), la déclaration est obligatoire selon NIS2 : alerte précoce au BSI dans les 24 heures suivant la détection, déclaration complète dans les 72 heures. Si aucune preuve d’exploitation réussie n’existe mais que la vulnérabilité est présente, aucune déclaration n’est obligatoire — mais la preuve des mesures de correctif est fortement recommandée.

Comment puis-je vérifier si mon serveur EPMM a déjà été compromis ?

Analyser les journaux d’accès REST-API à la recherche de requêtes vers des points de terminaison protégés sans jeton de session valide, des adresses IP inconnues ou des horodatages inhabituels (par exemple, entre 3 et 5 heures du matin). Vérifier la présence de nouveaux comptes administrateurs, de modifications de configuration non autorisées et de nouveaux certificats déployés via EPMM. Le BSI et Ivanti fournissent des listes d’IoC à comparer avec vos fichiers journaux.

Source image de une : Pexels | Base factuelle : Conseil Ivanti, BSI, CISA, Shadowserver Foundation

Imprimer l'article
Benedikt Langer

À propos de l'auteur: Benedikt Langer

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH