La société américaine de logiciels informatiques Ivanti a averti aujourd’hui ses clients de corriger une vulnérabilité récemment divulguée dans sa solution Endpoint Manager (EPM) qui pourrait permettre aux attaquants d’exécuter du code à distance.
Ivanti fournit des solutions de gestion des systèmes et des actifs informatiques à plus de 40 000 entreprises via un réseau de plus de 7 000 organisations dans le monde entier. Le logiciel EPM de la société est un outil de gestion des terminaux tout-en-un permettant de gérer les appareils clients sur des plates-formes populaires, notamment Windows, macOS, Linux, Chrome OS et IoT.
Répertoriée sous le numéro CVE-2025-10573, cette faille de sécurité critique peut être exploitée par des acteurs malveillants distants et non authentifiés pour exécuter du code JavaScript arbitraire via des attaques de script intersite de faible complexité nécessitant une interaction de l’utilisateur.
« Un attaquant disposant d’un accès non authentifié au service Web EPM principal peut joindre de faux points de terminaison gérés au serveur EPM afin d’empoisonner le tableau de bord Web de l’administrateur avec du JavaScript malveillant », a expliqué Ryan Emmons, chercheur en sécurité chez Rapid7, qui a signalé la vulnérabilité en août.
« Lorsqu’un administrateur Ivanti EPM consulte l’une des interfaces de tableau de bord empoisonnées lors d’une utilisation normale, cette interaction passive de l’utilisateur déclenche l’exécution JavaScript côté client, ce qui permet à l’attaquant de prendre le contrôle de la session de l’administrateur. »
Ivanti a publié la version EPM EPM 2024 SU4 SR1 pour résoudre le problème, et a noté que le risque de cette vulnérabilité devrait être considérablement réduit car la solution Ivanti EPM n’est pas destinée à être exposée en ligne.
Cependant, la plateforme de surveillance des menaces Shadowserver suit actuellement des centaines d’instances Ivanti EPM connectées à Internet, dont la plupart se trouvent aux États-Unis (569), en Allemagne (109) et au Japon (104).
Aujourd’hui, Ivanti a également publié des mises à jour de sécurité pour corriger trois vulnérabilités de gravité élevée, dont deux (CVE-2025-13659 et CVE-2025-13662) pourraient permettre à des attaquants non authentifiés d’exécuter du code arbitraire sur des systèmes non corrigés.
Heureusement, une exploitation réussie nécessite également une interaction de l’utilisateur et les cibles doivent soit se connecter à un serveur central non approuvé, soit importer des fichiers de configuration non approuvés.
« Nous n’avons connaissance d’aucun client exploité par ces vulnérabilités avant leur divulgation publique. Ces vulnérabilités ont été divulguées via notre programme de divulgation responsable », a déclaré Ivanti.
Bien qu’Ivanti n’ait pas encore découvert de preuves d’exploitation lors d’attaques, les failles de sécurité d’Ivanti EPM sont souvent ciblées par les acteurs de la menace.
Plus tôt cette année, en mars, CISA a identifié trois vulnérabilités critiques affectant les appliances EPM (CVE-2024 – 13159, CVE-2024-13160 et CVE-2024-13161) comme exploitées dans des attaques et a averti les agences fédérales américaines de sécuriser leurs réseaux dans les trois semaines.
L’agence américaine de cybersécurité a ordonné aux agences gouvernementales de corriger une autre faille EPM activement exploitée (CVE-2024-29824) en octobre 2024.