L’éditeur de logiciels de sécurité Ivanti a publié des correctifs pour combler deux failles critiques dans sa solution de passerelle mobile sécurisée Sentry. L’une d’elles, de gravité maximale, permet à des attaquants distants d’exécuter du code avec les privilèges les plus élevés.
Cette passerelle, anciennement appelée MobileIron Sentry, sécurise les communications entre les systèmes informatiques internes des entreprises et les appareils mobiles distants.
La première vulnérabilité, référencée sous le code CVE-2026-10520, est liée à une injection de commande système. La seconde, identifiée comme CVE-2026-10523, constitue un contournement critique de l’authentification. Des attaquants non authentifiés peuvent l’exploiter à distance pour créer des comptes administrateurs frauduleux et obtenir un accès administratif complet.
Ivanti a corrigé ces deux failles mardi avec la mise à disposition des versions R10.5.2, R10.6.2 et R10.7.1 de Sentry.
L’entreprise affirme n’avoir aucun indice d’une exploitation active de ces vulnérabilités dans la nature. Elle recommande aux administrateurs de mettre à jour leurs systèmes pour se prémunir contre d’éventuelles attaques.
Ces dernières années, les failles d’Ivanti ont souvent été ciblées par des cybercriminels car elles offrent un moyen simple de pénétrer les réseaux d’entreprise et de voler des données sensibles.
Par exemple, en mai, l’Agence américaine de cybersécurité (CISA) a ordonné aux agences fédérales des États-Unis de corriger leurs appareils Ivanti. L’éditeur venait d’avertir ses clients de patcher immédiatement une faille critique d’exécution de code à distance dans son gestionnaire de terminaux mobiles (EPMM), une faille qui avait été exploitée en tant que zero-day.
Plusieurs autres zero-days Ivanti ont été exploités ces dernières années pour compromettre une large gamme de cibles, dont des agences gouvernementales dans le monde entier. Cela inclut deux autres vulnérabilités critiques de l’EPMM corrigées en janvier après avoir été utilisées dans des attaques contre un « très petit nombre de clients ».
Les solutions de gestion des actifs informatiques d’Ivanti sont utilisées par plus de 40 000 clients dans le monde.