CVE-2026-1340: exécution de code à distance non authentifiée dans Ivanti EPMM

Le paysage de l’exploitation des appliances de bordure a atteint un point de rupture critique. la CVE-2026-1340, une vulnérabilité d’injection de code dans Ivanti Endpoint Manager Mobile (EPMM), représente un risque sévère pour les infrastructures d’entreprise. activement exploitée dans la nature, cette RCE permet aux attaquants de prendre le contrôle total de l’infrastructure de gestion des appareils mobiles (MDM) sans nécessiter d’authentification, d’interaction utilisateur ou d’identifiants valides.

Danger

Résumé exécutif (TL;DR): la CVE-2026-1340 est une RCE critique (CVSS 9.8) dans Ivanti EPMM causée par une génération de code inappropriée (CWE-94) dans des scripts bash hérités utilisés pour la réécriture d’URL. la vulnérabilité est activement exploitée par des acteurs malveillants pour déployer des web shells, des reverse shells et des cryptomineurs. remédiation: patcher immédiatement en utilisant les RPM spécifiques à la version.

Analyse technique

La vulnérabilité provient de l’utilisation non sécurisée de scripts bash hérités (/mi/bin/map-appstore-url et /mi/bin/map-aft-store-url) par le serveur web Apache. ces scripts sont destinés à gérer la réécriture d’URL pour la distribution d’applications internes.

Un attaquant exploite l’expansion arithmétique de bash pour injecter des commandes malveillantes dans des variables traitées par ces scripts. le flux d’injection suit ce mécanisme :

1. Manipulation des entrées: envoi de requêtes GET formatées vers des points de terminaison commençant par /mifs/c/appstore/fob/ ou /mifs/c/aftstore/fob/.
2. Injection de variables: passage d’une chaîne de commande malveillante dans des variables ultérieurement évaluées par l’expansion arithmétique de bash (ex: if [[ ${theCurrentTimeSeconds} -gt ${gStartTime} ]]).
3. Exécution: le script résout la chaîne injectée comme une commande, menant à une RCE.

Schémas d’exploitation (analyse Unit 42)

Les acteurs de la menace utilisent des frameworks de scan automatisés pour identifier les instances vulnérables, généralement suivis de ces opérations malveillantes :

• Reconnaissance: vérification de la RCE via des réponses basées sur le temps (en utilisant des commandes sleep).
• Reverse shells: établissement de connexions sortantes persistantes via ncat, sh, ou bash.
• Web shells: installation de web shells JSP légers (ex: 401.jsp, 403.jsp, 1.jsp) dans /mi/tomcat/webapps/mifs/.
• Déploiement de malwares: téléchargement de payloads secondaires, incluant des cryptomineurs et l’agent de monitoring Nezha.

Stratégie de détection

Détection Sigma

title: Ivanti EPMM RCE Attempt (CVE-2026-1340)
status: experimental
description: Detects exploitation attempts of CVE-2026-1340 targeting Ivanti EPMM
logsource:
  product: web
  category: web_server
detection:
  selection:
    uri|contains: ['/mifs/c/appstore/fob/', '/mifs/c/aftstore/fob/']
    uri|contains: 'gPath'
  condition: selection

Requête de Threat Hunting (Splunk)

index=web_logs product="Ivanti EPMM"
| search uri="/mifs/c/*/fob/*"
| where match(_raw, "gPath") OR match(_raw, "(?i)(bin/sh|cmd.exe|wget|curl)")

Valeur forensic

Les analystes DFIR doivent prioriser l’identification de la persistance non autorisée. les artefacts forensic clés incluent :

• Web shells: scanner /mi/tomcat/webapps/mifs/ pour trouver des fichiers JSP avec un contenu suspect.
• Artefacts de processus: surveiller l’apparition de processus enfants inattendus (/bin/sh, cmd.exe, curl, wget) spawné par le service EPMM.
• Analyse de logs: corréler les accès anormaux aux points de terminaison /mifs/c/*/fob/* avec des anomalies ultérieures sur l’hôte.

Sources

• NVD CVE-2026-1340
• CISA KEV Catalog
• Ivanti Security Advisory
• Unit 42 Threat Research