Des vulnérabilités critiques dans Ivanti EndPoint Manager Mobile ont été exploitées par des pirates informatiques chinois.
Des pirates informatiques chinois exploitent depuis le 15 mai une nouvelle vulnérabilité dans Ivanti Endpoint Manager Mobile (EPMM) pour infiltrer des organisations à travers le monde. La faille, CVE-2025-4428, est extrêmement grave et permet l’exécution de code à distance sur les systèmes vulnérables.
Attaques ciblées sur des secteurs stratégiques
La vulnérabilité se trouve dans les versions jusqu’à 12.5.0.0 d’Ivanti EPMM et a été corrigée le 13 mai avec une seconde faille (CVE-2025-4427). Cependant, deux jours plus tard, une nouvelle vague d’attaques a débuté. BleepingComputer énumère les victimes, incluant : le Service national de santé britannique, une entreprise américaine d’appareils médicaux, des gouvernements scandinaves, un acteur allemand des télécommunications, une société américaine de cybersécurité et même un financier irlandais de l’aviation.
Selon les chercheurs d’EclecticIQ, le groupe chinois UNC5221 est derrière ces piratages, ayant précédemment exploité des zero-days d’Ivanti. L’attaque démontre leur connaissance approfondie des systèmes Ivanti : les pirates savaient exactement où étaient stockés les mots de passe sensibles et les configurations.
Espionnage réel et déploiement rapide
Lors des attaques, des bases de données ont été exportées et des configurations Office 365 et LDAP ont été compromises. Les attaquants ont même laissé des fichiers temporaires déguisés en fichiers .jpg pour contourner la détection.
Ivanti a depuis corrigé les vulnérabilités, mais EclecticIQ souligne que les attaques ont commencé dans les 48 heures suivant la divulgation. Quiconque utilisant Ivanti EPMM et n’ayant pas encore effectué la mise à jour court un risque sérieux. Une mise à jour rapide est donc fortement recommandée.
lire aussi