**Ivanti** a émis un avertissement critique à ses clients, leur conseillant de patcher une vulnérabilité d'exécution de code à distance (RCE) de haute gravité, **CVE-2026-6973**, affectant **Endpoint Manager Mobile (EPMM)**. Cette faille est actuellement exploitée dans des attaques zero-day. ### Détails techniques de CVE-2026-6973 La vulnérabilité découle d'une faiblesse de validation incorrecte des entrées, permettant à des attaquants distants disposant de privilèges administratifs d'exécuter du code arbitraire sur les systèmes exécutant **EPMM** version 12.8.0.0 et antérieures. Cela souligne le besoin critique d'un patching rapide pour atténuer une exploitation potentielle. ### Étapes d'atténuation **Ivanti** conseille à ses clients d'installer les versions patchées suivantes d'**Ivanti EPMM** : 12.6.1.1, 12.7.0.1 et 12.8.0.1. De plus, l'entreprise recommande un examen approfondi de tous les comptes disposant de droits administratifs et une rotation des identifiants si nécessaire. Cette approche proactive peut réduire considérablement le risque d'exploitation. > "Au moment de la divulgation, nous sommes au courant d'une exploitation très limitée de **CVE-2026-6973**, qui nécessite une authentification admin pour une exploitation réussie. Nous ne sommes au courant d'aucun client exploité par les autres vulnérabilités divulguées aujourd'hui", a déclaré l'entreprise. Il est important de noter que la vulnérabilité n'affecte que le produit **EPMM** sur site et n'est pas présente dans **Ivanti Neurons for MDM**, **Ivanti EPM**, **Ivanti Sentry**, ou d'autres produits **Ivanti**. ### Exposition et surveillance **Shadowserver** suit actuellement plus de 850 adresses IP avec des empreintes **Ivanti EPMM** exposées en ligne, une part importante étant située en Europe (508) et en Amérique du Nord (182). Bien que ces données fournissent un aperçu de l'exposition potentielle, le nombre de systèmes déjà patchés contre **CVE-2026-6973** reste inconnu.  *IPs Ivanti EPMM exposées en ligne (Shadowserver)* ### Vulnérabilités supplémentaires patchées En plus de **CVE-2026-6973**, **Ivanti** a également publié des correctifs pour quatre autres vulnérabilités **EPMM** de haute gravité : **CVE-2026-5786**, **CVE-2026-5787**, **CVE-2026-5788** et **CVE-2026-7821**. Ces vulnérabilités pourraient permettre aux attaquants d'obtenir un accès admin, d'usurper l'identité d'hôtes Sentry enregistrés, d'invoquer des méthodes arbitraires et d'accéder à des informations restreintes. **Ivanti** a déclaré qu'il n'y avait aucune preuve que ces failles aient été exploitées dans la nature. **CVE-2026-7821** n'affecte que les utilisateurs qui utilisent et ont configuré **Apple Device Enrollment**. ### Historique récent des vulnérabilités Ivanti EPMM En janvier, **Ivanti** a divulgué deux vulnérabilités critiques d'injection de code **EPMM**, **CVE-2026-1281** et **CVE-2026-1340**, qui ont été exploitées dans des attaques zero-day affectant un nombre limité de clients. > "Si les clients ont suivi la recommandation d'**Ivanti** en janvier de faire pivoter les identifiants si vous avez été exploité avec **CVE-2026-1281** et **CVE-2026-1340**, alors votre risque d'exploitation par **CVE-2026-6973** est considérablement réduit", a ajouté l'entreprise. ### Implication de la CISA En avril, la **U.S. Cybersecurity and Infrastructure Security Agency (CISA)** a ordonné aux agences gouvernementales américaines de sécuriser leurs systèmes contre les attaques **CVE-2026-1340** dans les quatre jours, soulignant la gravité de ces vulnérabilités. Plusieurs zero-days **Ivanti EPMM** ont été exploités ces dernières années, entraînant des violations dans diverses cibles, y compris des agences gouvernementales dans le monde entier. À ce jour, la **CISA** a signalé 33 vulnérabilités **Ivanti** comme ayant été exploitées dans la nature, dont 12 ont été abusées par des opérations de ransomware. **Ivanti** fournit des produits de gestion d'actifs informatiques à plus de 40 000 clients dans le monde grâce à un réseau de plus de 7 000 partenaires. [99% de ce que Mythos a trouvé n'est toujours pas patché.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Au Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)