L’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) impose aux agences fédérales un délai de quatre jours pour corriger leurs réseaux face à une faille de sécurité de gravité élevée dans Ivanti Endpoint Manager Mobile (EPMM), activement exploitée lors d’attaques zero-day.
Identifiée sous le numéro CVE-2026-6973, cette vulnérabilité permet à des assaillants disposant de privilèges administratifs d’exécuter du code arbitraire à distance sur les systèmes fonctionnant avec EPMM 12.8.0.0 ou versions antérieures.
Recommandations d’Ivanti et état des exploitations
Dans un avis de sécurité publié jeudi, Ivanti recommande aux clients d’installer les correctifs version 12.6.1.1, 12.7.0.1 ou 12.8.0.1 sur leurs équipements. L’entreprise conseille également d’examiner les comptes dotés de droits d’administration et de renouveler les identifiants si nécessaire.
À ce stade, les exploitations de CVE-2026-6973 restent très limitées et exigent une authentification administrative pour réussir. Aucune victime n’a été signalée pour les autres failles révélées le même jour.
Cette vulnérabilité concerne exclusivement la version on-premise de EPMM. Elle n’impacte pas Ivanti Neurons for MDM, solution cloud de gestion unifiée des terminaux, ni Ivanti EPM, Ivanti Sentry ou tout autre produit de la marque.
Exposition en ligne et directive de la CISA
L’organisation à but non lucratif Shadowserver recense désormais plus de 800 instances d’Ivanti EPMM accessibles sur Internet. Aucune donnée n’indique combien ont déjà reçu le correctif pour CVE-2026-6973.
Jeudi, la CISA a inscrit cette faille sur sa liste des vulnérabilités exploitées en conditions réelles et exige des agences fédérales un déploiement des patches avant minuit le dimanche 10 mai.
Les autorités mettent en garde contre les dangers majeurs que représente ce genre de faille pour les infrastructures fédérales, souvent ciblée par les cybercriminels.
Historique récent des failles chez Ivanti
Fin janvier, Ivanti avait corrigé deux autres vulnérabilités critiques dans EPMM, CVE-2026-1281 et CVE-2026-1340, victimes d’attaques zero-day touchant un petit nombre de clients. Le 8 avril, la CISA avait accordé quatre jours aux organismes gouvernementaux pour se prémunir contre CVE-2026-1340.
Ivanti précise que le renouvellement des identifiants recommandé en janvier suite aux exploitations de CVE-2026-1281 et CVE-2026-1340 réduit fortement le risque lié à CVE-2026-6973.
Le fournisseur de solutions de gestion d’actifs informatiques dessert plus de 40 000 clients dans le monde, appuyé par un réseau de plus de 7 000 partenaires.