leowolfert - stock.adobe.com

Actualites

Ivanti EPMM au cœur d’une vaste campagne d’exploitation

La solution de gestion des terminaux mobiles d’entreprise d’Ivanti, affectée par une vulnérabilité dévoilée fin janvier, fait l’objet d’une vaste campagne d’exploitation. La Commission européenne pourrait avoir été prise dans la tempête.

Valéry Rieß-Marchive
par
Publié le: 12 févr. 2026

Le 29 janvier, Ivanti lançait l’alerte sur deux vulnérabilités critiques affectant les déploiements en local de sa solution de gestion des terminaux mobiles en entreprise, dite « EPMM ».

Référencées CVE-2026-1281 et CVE-2026-1340, ces deux vulnérabilités peuvent permettre l’exécution de code arbitraire à distance, en cas d’exploitation réussie.

Selon Defused, cette exploitation a commencé, à grande échelle, notamment pour le déploiement de webshell, des portes dérobées, « suggérant l’œuvre d’un courtier en accès initiaux » ou IAB (pour initial access broker).

Rien de bien surprenant, relève Rapid7, qui souligne que « compte tenu de la nature du produit, EPMM est une cible très exposée. Il a déjà été visé à plusieurs reprises par des vulnérabilités zero-day. En 2023, le produit a été exploité en ligne via CVE-2023-35078, puis à nouveau en 2025 via une chaîne d’exploits CVE-2025-4427 et CVE-2025-4428 ».

Les observations de Greynoise suggèrent quant à elles le travail d’un nombre d’acteurs limité : « 83 % des exploitations observées proviennent d’une seule adresse IP hébergée sur un serveur bulletproof (PROSPERO OOO, AS200593). Cette adresse IP ne figure pas sur les listes IOC largement diffusées, ce qui signifie que les défenseurs qui bloquent uniquement les marqueurs techniques publiés risquent de passer à côté de la principale source d’exploitation ».

La Commission européenne pourrait avoir été prise dans la tempête. Le 6 février, elle a révélé que « le 30 janvier, l’infrastructure centrale de la Commission européenne chargée de la gestion des terminaux mobiles a détecté les traces d’une cyberattaque qui aurait pu permettre d’accéder aux noms et numéros de téléphone portable de certains membres de son personnel. La réaction rapide de la Commission a permis de circonscrire l’incident et de nettoyer le système en moins de 9 heures. Aucune compromission des appareils mobiles n’a été détectée ».

Ivanti EPMM n’est ici pas désigné, mais la chronologie laisse peu de place au doute. Et le cas ne serait pas isolé.

Les autorités néerlandaises ont ainsi confirmé que l’Autorité locale de protection des données et le Conseil judiciaire ont été touchés par des attaques exploitant les vulnérabilités d’Ivanti EPMM, selon une lettre envoyée au Parlement.

Pour approfondir sur Menaces, Ransomwares, DDoS