Des chercheurs en sécurité ont rapporté qu’une vaste campagne cyber vise les systèmes fonctionnant sous Ivanti Endpoint Manager Mobile (EPMM), une plateforme de gestion d’appareils mobiles largement utilisée, après la révélation de deux vulnérabilités zéro jour critiques. Les attaquants scannent Internet avec des dizaines de milliers d’adresses IP pour identifier et exploiter des instances non corrigées du logiciel.
Ivanti a révélé ces vulnérabilités, enregistrées sous les numéros CVE-2026-1281 et CVE-2026-1340, le 29 janvier 2026. Les deux comportent des scores élevés qui reflètent le risque d’exécution de code à distance et non authentifiée sur les serveurs concernés. Les exploits de preuve de concept ont été rendus publics immédiatement après la divulgation, entraînant une augmentation rapide des tentatives de balayage et d’exploitation par plusieurs acteurs malveillants.
Les données de surveillance des menaces montrent que, certains jours, les attaquants ont accumulé plus de 28 000 adresses IP distinctes sondant des installations EPMM vulnérables, avec plus de 39 000 connexions enregistrées sur un seul honeypot utilisé pour mesurer des activités malveillantes. En comparaison, d’autres vulnérabilités très médiatisées attirent généralement des scans provenant de bien moins de sources.
Les organisations de sécurité ont identifié des centaines de systèmes EPMM exposés à Internet en Allemagne, aux États-Unis, au Royaume-Uni, en Suisse, à Hong Kong, en Chine, en France, en Espagne, aux Pays-Bas et en Suède. Beaucoup plus d’installations existent derrière des pare-feux d’entreprise, où elles devraient être protégées de l’accès direct à Internet.
Des rapports distincts indiquent que ces vulnérabilités ont été liées à des violations confirmées des systèmes gouvernementaux en Europe. La Commission européenne a déclaré avoir détecté et contenu une cyberattaque contre les infrastructures responsables de la gestion des appareils mobiles du personnel, ce qui aurait pu permettre un accès limité à des informations personnelles. Des attaques similaires contre des agences gouvernementales en Finlande et aux Pays-Bas ont été attribuées à l’exploitation des mêmes défauts.
Ivanti a conseillé aux clients et aux administrateurs d’appliquer des correctifs d’urgence et a publié des directives et outils pour aider à évaluer une exploitation potentielle. Les correctifs sont devenus disponibles peu après la révélation des défauts, et l’entreprise a encouragé les organisations à mettre à jour immédiatement les systèmes concernés pour éviter toute compromission.
Les experts ont indiqué que l’émergence rapide de l’exploitation de masse après la divulgation publique souligne les risques associés aux vulnérabilités zero-day dans les logiciels de gestion largement déployés. Les systèmes EPMM sont utilisés pour faire respecter les politiques de sécurité, gérer les appareils des employés et livrer des applications sur iOS, Android et Windows. Si un attaquant prend le contrôle de ces systèmes, il peut potentiellement accéder à des données sensibles de l’entreprise et déployer du code malveillant sans être détecté.
Les chercheurs avertissent que les instances non corrigées restent exposées et que la continuité des analyses par des acteurs malveillants est probable à moins que les administrateurs ne sécurisent leurs réseaux et n’appliquent les dernières mises à jour. La campagne met en lumière des défis de sécurité plus larges pour les organisations qui dépendent des plateformes de gestion des appareils pour la continuité opérationnelle et la protection des données.