{"id":174291,"date":"2026-02-17T10:07:19","date_gmt":"2026-02-17T18:07:19","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=174291"},"modified":"2026-02-25T11:11:52","modified_gmt":"2026-02-25T19:11:52","slug":"ivanti-cve-2026-1281-cve-2026-1340","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/","title":{"rendered":"Deux vuln\u00e9rabilit\u00e9s critiques d'Ivanti EPMM exploit\u00e9es activement"},"content":{"rendered":"<h2><a id=\"post-174291-_cku1z4wjesbq\"><\/a>Synth\u00e8se<\/h2>\n<p>Deux vuln\u00e9rabilit\u00e9s critiques de type zero-day (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-1281\" target=\"_blank\" rel=\"noopener\">CVE-2026-1281<\/a>et <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-1340\" target=\"_blank\" rel=\"noopener\">CVE-2026-1340<\/a>) affectant Ivanti Endpoint Manager Mobile (EPMM) sont activement exploit\u00e9es, impactant les flottes mobiles d'entreprise et les r\u00e9seaux internes. Ces vuln\u00e9rabilit\u00e9s permettent \u00e0 des attaquants non authentifi\u00e9s d'ex\u00e9cuter \u00e0 distance du code arbitraire sur les serveurs cibles, leur octroyant un contr\u00f4le total sur l'infrastructure de gestion des appareils mobiles (MDM) sans n\u00e9cessiter d'interaction utilisateur ni d'identifiants.<\/p>\n<p>Unit 42 a observ\u00e9 une exploitation g\u00e9n\u00e9ralis\u00e9e de ces vuln\u00e9rabilit\u00e9s, incluant :<\/p>\n<ul>\n<li>L'\u00e9tablissement de reverse shells<\/li>\n<li>L'installation de webshells<\/li>\n<li>Des activit\u00e9s de reconnaissance<\/li>\n<li>Le t\u00e9l\u00e9chargement de malwares<\/li>\n<\/ul>\n<p>Cette campagne a \u00e9galement touch\u00e9 les secteurs suivants aux \u00c9tats-Unis, en Allemagne, en Australie et au Canada :<\/p>\n<ul>\n<li>Gouvernements \u00e9tatiques et locaux<\/li>\n<li>Sant\u00e9<\/li>\n<li>Industrie manufacturi\u00e8re<\/li>\n<li>Services professionnels et juridiques<\/li>\n<li>Haute technologie<\/li>\n<\/ul>\n<p>En raison de la gravit\u00e9 de la menace, l'agence am\u00e9ricaine CISA (Cybersecurity and Infrastructure Security Agency) a ajout\u00e9 la <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2026\/01\/29\/cisa-adds-one-known-exploited-vulnerability-catalog\" target=\"_blank\" rel=\"noopener\">CVE-2026-1281<\/a> \u00e0 son catalogue de vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV - Known Exploited Vulnerabilities).<\/p>\n<p>Les acteurs malveillants acc\u00e9l\u00e8rent leurs op\u00e9rations, passant de la reconnaissance initiale au d\u00e9ploiement de backdoors dormantes con\u00e7ues pour maintenir un acc\u00e8s \u00e0 long terme, m\u00eame apr\u00e8s l'application des correctifs par les organisations.<\/p>\n<p>La t\u00e9l\u00e9m\u00e9trie de Palo Alto Networks <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> a identifi\u00e9 la pr\u00e9sence de plus de 4 400 instances EPMM.<\/p>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient d'une protection accrue contre les vuln\u00e9rabilit\u00e9s CVE-2026-1281 et CVE-2026-1340 via les produits suivants :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> avec l'abonnement de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>Palo Alto Networks recommande \u00e9galement de consulter <a href=\"https:\/\/hub.ivanti.com\/s\/article\/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US\" target=\"_blank\" rel=\"noopener\">l'avis de s\u00e9curit\u00e9 d'Ivanti publi\u00e9<\/a> en janvier 2026. <a href=\"https:\/\/hub.ivanti.com\/s\/article\/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US\" target=\"_blank\" rel=\"noopener\">Ivanti y pr\u00e9conise l'application<\/a> du RPM 12.x.0.x ou 12.x.1.x, selon la version utilis\u00e9e. Les RPM sont sp\u00e9cifiques \u00e0 la version et non \u00e0 la vuln\u00e9rabilit\u00e9. Aucun temps d'arr\u00eat n'est requis pour appliquer le correctif, et Ivanti n'a connaissance d'aucun impact sur les fonctionnalit\u00e9s logicielles. Plus de d\u00e9tails sont disponibles dans la section \"Conseils provisoires\".<\/p>\n<p>L'\u00e9quipe <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">Unit 42 Incident Response<\/a> peut \u00e9galement \u00eatre sollicit\u00e9e pour aider en cas de compromission ou pour fournir une \u00e9valuation proactive afin de r\u00e9duire les risques.<\/p>\n<table style=\"width: 94.0064%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Vuln\u00e9rabilit\u00e9s analys\u00e9es<\/b><\/td>\n<td style=\"width: 211.991%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2026-1281\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2026-1281<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2026-1340\/\" target=\"_blank\" rel=\"noopener\">CVE-2026-1340<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-174291-_q14xcdv0a9wv\"><\/a>D\u00e9tails de la CVE-2026-1281<\/h2>\n<p>La CVE-2026-1281 (score CVSS de 9.8) est une vuln\u00e9rabilit\u00e9 critique d'ex\u00e9cution de code \u00e0 distance (RCE) dans Ivanti EPMM. La faille r\u00e9side dans des scripts bash h\u00e9rit\u00e9s utilis\u00e9s par le serveur web Apache pour g\u00e9rer la r\u00e9\u00e9criture d'URL.<\/p>\n<p>Le composant vuln\u00e9rable d'Ivanti EPMM utilise des configurations Apache RewriteMap qui pointent vers des scripts bash situ\u00e9s dans <span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/bin\/map-appstore-url<\/span>. Ces scripts sont destin\u00e9s \u00e0 traiter les URL pour la fonctionnalit\u00e9 de distribution d'applications internes (\"In-House Application Distribution\").<\/p>\n<p>La faille est un type sp\u00e9cifique d'injection de code exploitant<a href=\"https:\/\/www.gnu.org\/software\/bash\/manual\/html_node\/Arithmetic-Expansion.html\" target=\"_blank\" rel=\"noopener\"> l'expansion arithm\u00e9tiqu<\/a>e de bash. Le processus d'exploitation consiste \u00e0 tromper le script bash pour qu'il \u00e9value une variable contenant une commande malveillante. Ce processus se d\u00e9compose comme suit:<\/p>\n<ul>\n<li><strong>Manipulation de l'entr\u00e9e :<\/strong> L'attaquant envoie une requ\u00eate HTTP GET vers un point de terminaison tel que <span style=\"font-family: 'courier new', courier, monospace;\">\/mifs\/c\/appstore\/fob\/....<\/span><\/li>\n<li><strong>Pointage de variable :<\/strong> L'attaquant d\u00e9finit le param\u00e8tre st sur la cha\u00eene <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span> (compl\u00e9t\u00e9e par des espaces pour respecter les exigences de longueur). Le script assigne cette entr\u00e9e \u00e0 une variable nomm\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">gStartTime<\/span>.<\/li>\n<li><strong>Injection de la charge utile (payload) :<\/strong> L'attaquant configure le param\u00e8tre h pour inclure la commande malveillante encapsul\u00e9e dans un index de tableau, par exemple <span style=\"font-family: 'courier new', courier, monospace;\">gPath['sleep 5']<\/span>. Le script assigne cela \u00e0 la variable theValue.<\/li>\n<li><strong>Ex\u00e9cution :<\/strong> Le script tente de comparer <span style=\"font-family: 'courier new', courier, monospace;\">gStartTime<\/span> (qui contient d\u00e9sormais la cha\u00eene <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>) \u00e0 l'heure actuelle via une \u00e9valuation arithm\u00e9tique (<span style=\"font-family: 'courier new', courier, monospace;\">if [[ ${theCurrentTimeSeconds} -gt ${gStartTime} ]]<\/span>).<\/li>\n<li><strong>Expansion :<\/strong> Comme <span style=\"font-family: 'courier new', courier, monospace;\">gStartTime<\/span> pointe vers theValue, bash r\u00e9sout <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>. \u00c0 l'int\u00e9rieur de <span style=\"font-family: 'courier new', courier, monospace;\">theValue<\/span>, l'attaquant a int\u00e9gr\u00e9 une substitution de commande (via l'index du tableau). Bash ex\u00e9cute alors la commande (ex: <span style=\"font-family: 'courier new', courier, monospace;\">sleep 5<\/span> ou un reverse shell) tout en r\u00e9solvant l'index du tableau.<\/li>\n<\/ul>\n<h2><a id=\"post-174291-_7dfd7pr6e14x\"><\/a>D\u00e9tails de la CVE-2026-1340<\/h2>\n<p>La CVE-2026-1340 (score CVSS de 9.8) impacte le m\u00e9canisme de transfert de fichiers Android d'Ivanti. Bien que la cause profonde (utilisation non s\u00e9curis\u00e9e de scripts bash) soit identique \u00e0 la CVE-2026-1281, elle r\u00e9side dans deux scripts distincts (<span style=\"font-family: 'courier new', courier, monospace;\">map-appstore-url<\/span> vs. <span style=\"font-family: 'courier new', courier, monospace;\">map-aft-store-url<\/span>) g\u00e9rant des fonctionnalit\u00e9s diff\u00e9rentes. Cette vuln\u00e9rabilit\u00e9 est d\u00e9clench\u00e9e via des requ\u00eates HTTP GET vers des points de terminaison commen\u00e7ant par <span style=\"font-family: 'courier new', courier, monospace;\">\/mifs\/c\/aftstore\/fob\/<\/span>.<\/p>\n<h2><a id=\"post-174291-_vt96nxwki4xh\"><\/a>Port\u00e9e actuelle de l'exploitation<\/h2>\n<p>Unit 42 a observ\u00e9 des tentatives d'exploitation g\u00e9n\u00e9ralis\u00e9es et principalement automatis\u00e9es des CVE-2026-1281 et CVE-2026-1340.<\/p>\n<p>Nous avons identifi\u00e9 la commande suivante ciblant les serveurs Ivanti EPMM vuln\u00e9rables via le format d'URL illustr\u00e9 ci-dessous dans la Figure 1.<\/p>\n<figure id=\"attachment_174292\" aria-describedby=\"caption-attachment-174292\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174292 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-95189-174291-1.png\" alt=\"Capture d'\u00e9cran d'une cha\u00eene de code suivant le format sp\u00e9cifique d'une commande ciblant des serveurs vuln\u00e9rables.\" width=\"700\" height=\"63\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-95189-174291-1.png 1334w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-95189-174291-1-786x71.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-95189-174291-1-768x69.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-174292\" class=\"wp-caption-text\">Figure 1. Format de la commande ciblant les serveurs Ivanti EPMM vuln\u00e9rables.<\/figcaption><\/figure>\n<h3><a id=\"post-174291-_mu475hsmropm\"><\/a>T\u00e9l\u00e9chargement de malwares<\/h3>\n<p>Dans certains cas, les attaquants ont tent\u00e9 de contourner l'authentification sur la plateforme MobileIron d'Ivanti pour t\u00e9l\u00e9charger et ex\u00e9cuter imm\u00e9diatement une charge utile de second niveau (le script <span style=\"font-family: 'courier new', courier, monospace;\">\/slt<\/span>). Cette seconde \u00e9tape installe g\u00e9n\u00e9ralement un webshell, un cryptomineur ou une backdoor persistante pour donner \u00e0 l'attaquant le contr\u00f4le de l'\u00e9quipement.<\/p>\n<p>La Figure 2 ci-dessous montre un exemple de l'URL et des commandes subs\u00e9quentes observ\u00e9es lors d'une tentative.<\/p>\n<figure id=\"attachment_174057\" aria-describedby=\"caption-attachment-174057\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174057 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1.png\" alt=\"Capture d'\u00e9cran montrant une s\u00e9rie de commandes shell li\u00e9es \u00e0 l'installation et \u00e0 la configuration d'un logiciel. Les commandes consistent \u00e0 t\u00e9l\u00e9charger des fichiers \u00e0 partir d'URL sp\u00e9cifiques, \u00e0 ajuster les permissions avec \u00ab chmod \u00bb et \u00e0 ex\u00e9cuter des scripts avec \u00ab curl \u00bb et \u00ab wget \u00bb.\" width=\"1000\" height=\"377\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1.png 1858w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1-786x296.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1-768x289.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/F1-1-1536x579.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-174057\" class=\"wp-caption-text\">Figure 2. URL et commandes issues d'une tentative d'exploitation.<\/figcaption><\/figure>\n<h3><a id=\"post-174291-_m1qaktb04zcg\"><\/a>Activit\u00e9 de botnets<\/h3>\n<p>Nous avons observ\u00e9 des attaquants t\u00e9l\u00e9chargeant l'agent de surveillance Nezha, un utilitaire open-source de surveillance de serveurs. Ils ont utilis\u00e9 des param\u00e8tres sp\u00e9cifiques pour r\u00e9cup\u00e9rer l'outil sur Gitee si la victime est localis\u00e9e en Chine, garantissant ainsi une base de victimes la plus large possible, quel que soit l'emplacement g\u00e9ographique. La Figure 3 ci-dessous montre la commande de t\u00e9l\u00e9chargement de l'agent Nezha.<\/p>\n<figure id=\"attachment_174314\" aria-describedby=\"caption-attachment-174314\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174314 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-99869-174291-3.png\" alt=\"L'image affiche un script de commande de terminal. Il commence par une commande curl pour t\u00e9l\u00e9charger un fichier depuis GitHub et se poursuit par de multiples expressions.\" width=\"1000\" height=\"109\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-99869-174291-3.png 1754w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-99869-174291-3-786x86.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-99869-174291-3-768x84.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-99869-174291-3-1536x168.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-174314\" class=\"wp-caption-text\">Figure 3. Tentative de t\u00e9l\u00e9chargement d'un agent de surveillance Nezha.<\/figcaption><\/figure>\n<h3><a id=\"post-174291-_nb6sw7bkq7rg\"><\/a>Tentatives de reverse shell<\/h3>\n<p>Dans de nombreux cas, nous avons observ\u00e9 des tentatives d'ex\u00e9cution de reverse shells en injectant des commandes \u00e9tablissant des connexions sortantes vers un poste d'\u00e9coute. La Figure 4 ci-dessous illustre ces tentatives<\/p>\n<figure id=\"attachment_174325\" aria-describedby=\"caption-attachment-174325\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174325 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-101989-174291-4.png\" alt=\"L'image montre trois lignes de code impliquant des communications r\u00e9seau. La premi\u00e8re ligne utilise &quot;ncat&quot; pour se connecter \u00e0 une adresse IP sur le port 8443. La deuxi\u00e8me ligne utilise &quot;sh&quot; avec une adresse IP sur le port 443. La troisi\u00e8me ligne utilise &quot;bash&quot; avec une adresse IP sur le port 443.\" width=\"600\" height=\"169\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-101989-174291-4.png 1112w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-101989-174291-4-786x222.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-101989-174291-4-768x217.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-174325\" class=\"wp-caption-text\">Figure 4. Tentatives d'ex\u00e9cution de reverse shells.<\/figcaption><\/figure>\n<h3><a id=\"post-174291-_s994mtjw78j2\"><\/a>Reconnaissance<\/h3>\n<p>Nous avons \u00e9galement constat\u00e9 que des attaquants envoyaient des commandes sleep pour d\u00e9terminer si le serveur cibl\u00e9 \u00e9tait vuln\u00e9rable. C'est une m\u00e9thode simple pour tester si le serveur marque une pause de cinq secondes. Si la connexion se fige pendant exactement cinq secondes avant de renvoyer une erreur (ex: erreur 404), l'attaquant sait qu'il a obtenu une RCE et encha\u00eenera imm\u00e9diatement avec des charges utiles malveillantes. La Figure 5 montre des exemples de commandes pour ces phases de reconnaissance.<\/p>\n<figure id=\"attachment_174336\" aria-describedby=\"caption-attachment-174336\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174336 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-103977-174291-5.png\" alt=\"Un extrait de code informatique montrant des commandes de terminal impliquant des chemins de fichiers et des op\u00e9rations syst\u00e8me. Les fonctions incluent l'affichage d'une cha\u00eene (echo), la navigation dans les r\u00e9pertoires, le tri et l'utilisation de tubes (piping) pour les r\u00e9sultats. Le texte sugg\u00e8re des interactions avec des applications web et la gestion de fichiers.\" width=\"800\" height=\"188\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-103977-174291-5.png 1622w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-103977-174291-5-786x185.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-103977-174291-5-768x181.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-103977-174291-5-1536x362.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-174336\" class=\"wp-caption-text\">Figure 5. Tentatives de reconnaissance.<\/figcaption><\/figure>\n<h3><a id=\"post-174291-_av57sffxuwmm\"><\/a>Activit\u00e9 de webshells<\/h3>\n<p>Nous avons observ\u00e9 des acteurs de la menace tenter d'installer des webshells JSP l\u00e9gers (nomm\u00e9s par exemple <span style=\"font-family: 'courier new', courier, monospace;\">401.jsp, 403.jsp<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">1.jsp<\/span>) dans le r\u00e9pertoire <span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/<\/span> sur diverses cibles. Dans ces cas, si le serveur web s'ex\u00e9cute avec les privil\u00e8ges <span style=\"font-family: 'courier new', courier, monospace;\">root<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">Administrateur<\/span>, l'attaquant obtient le contr\u00f4le administratif du serveur. La Figure 6 ci-dessous montre un exemple de ces webshells JSP.<\/p>\n<figure id=\"attachment_174347\" aria-describedby=\"caption-attachment-174347\" style=\"width: 720px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-174347 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-106015-174291-6.png\" alt=\"Extrait de code pr\u00e9sentant un script Java c\u00f4t\u00e9 serveur int\u00e9gr\u00e9 dans du HTML. Le formulaire HTML inclut une m\u00e9thode GET avec une action &quot;Run&quot;. Le code Java r\u00e9cup\u00e8re des donn\u00e9es d'ex\u00e9cution (runtime), ex\u00e9cute une commande et affiche le r\u00e9sultat de celle-ci.\" width=\"720\" height=\"900\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-106015-174291-6.png 1272w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-106015-174291-6-352x440.png 352w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-106015-174291-6-560x700.png 560w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-106015-174291-6-768x960.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-106015-174291-6-1229x1536.png 1229w\" sizes=\"(max-width: 720px) 100vw, 720px\" \/><figcaption id=\"caption-attachment-174347\" class=\"wp-caption-text\">Figure 6. Exemple d'un webshell JSP d\u00e9cod\u00e9.<\/figcaption><\/figure>\n<h2><a id=\"post-174291-_3spz19smeiq\"><\/a>Conseils provisoires pour les CVE-2026-1281 et CVE-2026-1340<\/h2>\n<p>Un avis de <a href=\"https:\/\/hub.ivanti.com\/s\/article\/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US\" target=\"_blank\" rel=\"noopener\">s\u00e9curit\u00e9 d'Ivanti<\/a> de janvier 2026 recommande \u00e0 ses clients d'appliquer soit le RPM 12.x.0.x, soit le RPM 12.x.1.x, selon leur version. Les clients n'ont pas besoin d'appliquer les deux RPM, car ils sont sp\u00e9cifiques \u00e0 la version et non \u00e0 la vuln\u00e9rabilit\u00e9.<\/p>\n<p>Aucune interruption de service n'est requise pour appliquer ce correctif, et l'entreprise n'a pas connaissance d'impact sur les fonctionnalit\u00e9s applicatives.<\/p>\n<p>La recommandation d'Ivanti reste la m\u00eame : les clients qui n'ont pas encore appliqu\u00e9 le correctif doivent le faire imm\u00e9diatement, puis inspecter leur \u00e9quipement pour d\u00e9tecter tout signe d'exploitation ayant pu survenir avant le correctif. L'application du correctif est le moyen le plus efficace de pr\u00e9venir l'exploitation, quelle que soit l'\u00e9volution des IoC (indicateurs de compromission) au fil du temps, surtout une fois qu'un PoC (Proof of Concept) est disponible. Le correctif ne n\u00e9cessite aucun temps d'arr\u00eat et s'applique en quelques secondes.<\/p>\n<p>Ivanti a fourni \u00e0 ses clients des indicateurs de compromission de haute fid\u00e9lit\u00e9, une analyse technique lors de la divulgation, ainsi qu'un script de d\u00e9tection d'exploitation d\u00e9velopp\u00e9 avec le NCSC-NL, et continue de soutenir ses clients face \u00e0 cette menace.<\/p>\n<h2><a id=\"post-174291-_3ivybv7c244x\"><\/a>Requ\u00eates Unit 42 Managed Threat Hunting<\/h2>\n<p>L'\u00e9quipe Unit 42 Managed Threat Hunting continue de traquer toute tentative d'exploitation de ces CVE chez nos clients, en utilisant Cortex XDR et les requ\u00eates XQL ci-dessous. Les clients Cortex XDR peuvent \u00e9galement utiliser ces requ\u00eates XQL pour rechercher des signes d'exploitation.<\/p>\n<p>Si les logs d'Ivanti EPMM sont ing\u00e9r\u00e9s dans Cortex XDR ou XSIAM, la requ\u00eate suivante peut \u00eatre utilis\u00e9e pour identifier des signes d'exploitation. Pour ce faire, le nom du jeu de donn\u00e9es (dataset) devra \u00eatre sp\u00e9cifi\u00e9 dans l'\u00e9tape dataset.<\/p>\n<pre class=\"lang:default decode:true\">\/\/Description: This query identifies HTTP(S) requests logged within Ivanti EPMM (Formerly MobileIron) logs that match exploitation URI parameters. The EPMM Version number is also extracted (as EPMM_Version) to provide additional context for security teams to identify if their software version is vulnerable.\r\n\r\nconfig case_sensitive = false\r\n\r\n\/\/Note: Replace &lt;ENTER_DATASET_NAME_FOR_IVANTI_EPMM&gt; with the actual name of your Ivanti EPMM syslog dataset.\r\n\r\n\r\n| dataset = &lt;ENTER_DATASET_NAME_FOR_IVANTI_EPMM&gt;\r\n\r\n| fields _time, _raw_log, _reporting_device_ip, _broker_hostname\r\n\r\n| alter log_type = arrayindex(regextract(_raw_log, \"^[^\\+]+\\+\\d{2}:\\d{2}\\s[^\\s]+\\s([^\\s]+)\\s\"),0)\r\n\r\n| filter log_type in (\"https_request\", \"https_access\", \"http_request\", \"https_access\")\r\n\r\n| alter EPMM_Version = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=([^,]+)\"),0),\r\n\r\nHTTP_Request_src_ip = if(log_type in (\"https_request\", \"http_request\"), arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^,]+),[^\\s]+\\s([^\\s]+)\"), 0), arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^,]+),([^:]+)\"), 0)),\r\n\r\nHTTP_Method = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(GET|POST|PUT)\"), 0),\r\n\r\nHTTP_Request_URI = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(?:GET|POST|PUT)\\s+([^\\\"]+)\"), 0),\r\n\r\nHTTP_response_Code = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(?:GET|POST|PUT)\\s+(?:[^\\\"]+)\\\"\\s+([1-5]\\d\\d)\"), 0),\r\n\r\nAttempted_command_execution = arrayindex(regextract(_raw_log, \"^(?:[^P]*P)+RODUCT=(?:[^\\\"]*\\\")(?:GET|POST|PUT)\\s+(?:[^=]*=)+gPath([^\\s]+)\"), 0)\r\n\r\n| filter HTTP_Request_URI ~= \"\\\/mifs\\\/c\\\/(?:app|aft)store\\\/fob\" AND HTTP_Request_URI ~= \"\\=gPath\"\r\n\r\n| fields _time, log_type, EPMM_Version, HTTP_Request_src_ip, HTTP_Method, HTTP_Request_URI, HTTP_response_Code, Attempted_command_execution\r\n\r\n| sort asc _time<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query identifies HTTP(S) requests logged by NGFW that match Ivanti EPMM exploitation URI parameters.\r\n\r\n\u200b\u200bconfig case_sensitive = false\r\n\r\n| dataset = panw_ngfw_url_raw\r\n\r\n| filter uri ~= \"\\\/mifs\\\/c\\\/(?:app|aft)store\\\/fob\" and uri ~= \"\\=gPath\"\r\n\r\n| fields _time, app, app_category, action, source_ip, dest_ip, dest_port, url_domain, uri, file_url, http_method, http_headers, action, session_id, from_zone, to_zone\r\n\r\n| sort asc _time<\/pre>\n<h2><a id=\"post-174291-_z4url9mysl7s\"><\/a>Conclusion<\/h2>\n<p>L\u2019exploitation rapide de ces vuln\u00e9rabilit\u00e9s d\u00e9montre que le d\u00e9lai entre la divulgation et l'exploitation de masse s'est pratiquement r\u00e9duit \u00e0 n\u00e9ant, les attaquants opportunistes int\u00e9grant les nouvelles CVE dans des frameworks de scan automatis\u00e9s en l'espace de quelques heures. Bien que ce type d'attaques manque de pr\u00e9cision, la compromission r\u00e9ussie \u00e0 grande \u00e9chelle d'\u00e9quipements de bord non patch\u00e9s en fait des actifs \u00e0 haut risque qu'un simple cycle de correctifs ne suffit pas \u00e0 s\u00e9curiser. Les organisations disposant d'interfaces de gestion expos\u00e9es sur Internet devraient adopter une mentalit\u00e9 \"assumed breach\" (intrusion suppos\u00e9e) et traiter la d\u00e9tection de tout indicateur comme une compromission potentielle avec une possible persistance profonde et des mouvements lat\u00e9raux.<\/p>\n<p>Palo Alto Networks a partag\u00e9 ses conclusions avec les membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des protections pour leurs clients et perturber syst\u00e9matiquement les acteurs cybermalveillants. En savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s par nos produits, comme list\u00e9 ci-dessous. Nous mettrons \u00e0 jour ce bulletin d'alerte \u00e0 mesure que de nouvelles informations pertinentes seront disponibles.<\/p>\n<h2><a id=\"post-174291-_i8dn25oybrr0\"><\/a>Protections des produits Palo Alto Networks pour les CVE-2026-1281 et CVE-2026-1340<\/h2>\n<p>Les clients de Palo Alto Networks peuvent s'appuyer sur diverses protections et mises \u00e0 jour de produits pour identifier et se d\u00e9fendre contre cette menace.<\/p>\n<h3><a id=\"post-174291-_ffu16eyw6g45\"><\/a><strong>Next-Generation Firewalls avec Advanced Threat Prevention<\/strong><\/h3>\n<p>Le <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\">Next-Generation Firewall<\/a> avec l'abonnement de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> peut aider \u00e0 bloquer les attaques via la signature Threat Prevention suivante : 96919.<\/p>\n<h3><a id=\"post-174291-_j9967dfrx2zl\"><\/a>Services de s\u00e9curit\u00e9 bas\u00e9s sur le cloud pour le Next-Generation Firewall<\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifient comme malveillants les domaines et URL connus associ\u00e9s \u00e0 cette activit\u00e9.<\/p>\n<h3><a id=\"post-174291-_nbtxn9rdf95t\"><\/a>Cortex Xpanse<\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> a la capacit\u00e9 d'identifier les appareils Ivanti EPMM expos\u00e9s sur l'internet public et de transmettre ces r\u00e9sultats aux d\u00e9fenseurs. Les clients peuvent activer l'alerte sur ce risque en s'assurant d'avoir activ\u00e9 la r\u00e8gle de surface d'attaque \"Ivanti Endpoint Manager Mobile (MobileIron Core)\". Les r\u00e9sultats identifi\u00e9s peuvent \u00eatre consult\u00e9s dans la vue incident d'Expander. Ces r\u00e9sultats sont \u00e9galement disponibles pour les clients Cortex XSIAM ayant achet\u00e9 le module ASM.<\/p>\n<h3><a id=\"post-174291-_3cm8wxflupgu\"><\/a>Cortex Cloud<\/h3>\n<p>Bien qu'il n'y ait aucune indication connue d'exploitation de cette vuln\u00e9rabilit\u00e9 au sein d'infrastructures cloud, les clients Cortex Cloud sont mieux prot\u00e9g\u00e9s et peuvent d\u00e9tecter et rem\u00e9dier aux infrastructures cloud vuln\u00e9rables gr\u00e2ce \u00e0 la surveillance des vuln\u00e9rabilit\u00e9s de <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/vulnerability-management\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a>. De plus, le d\u00e9ploiement appropri\u00e9 de <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">l'agent endpoint XDR<\/a> et des <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Use-cases\" target=\"_blank\" rel=\"noopener\">agents serverless<\/a> de Cortex Cloud dans un environnement cloud aide \u00e0 d\u00e9tecter et pr\u00e9venir les op\u00e9rations malveillantes, les modifications de configuration ou les exploitations \u00e0 l'ex\u00e9cution, offrant ainsi des d\u00e9fenses durables de l'environnement cloud.<\/p>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou pour toute urgence, contactez l'\u00e9quipe de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">r\u00e9ponse aux incidents de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord (num\u00e9ro gratuit) : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 000 800 050 45107<\/li>\n<li>Cor\u00e9e du Sud : +82.080.467.8774<\/li>\n<\/ul>\n<h2><a id=\"post-174291-_kpsfd99xqs2x\"><\/a>Indicateurs de compromission (IoC)<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23[.]227[.]199[.]80 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">64[.]7[.]199[.]177 (Ports 10882, 18899)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">83[.]138[.]53[.]139<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">84[.]72[.]235[.]18 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">86[.]106[.]143[.]200 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">91[.]193[.]19[.]12 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">107[.]173[.]231[.]201 (Port 6666)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">130[.]94[.]41[.]206 (Ports 8082, 10808)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138[.]226[.]247[.]241<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">144[.]172[.]106[.]4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146[.]70[.]41[.]193 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">152[.]32[.]173[.]138<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">158[.]247[.]199[.]185 (Port 80)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">185[.]173[.]235[.]232<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">192[.]242[.]184[.]234<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">193[.]242[.]184[.]234 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">194[.]78[.]67[.]253 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">198[.]13[.]158[.]58 (Port 8443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">204[.]251[.]198[.]205 (Port 443)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].gobygo[.]net<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].introo[.]sh<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].ngrok-free[.]app<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].main[.]interacth3[.]io<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].ddns[.]1433[.]eu[.]org<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].oast[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].oast[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].oast[.]site<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].eyes[.]sh<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].requestrepo[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">[subdomain].ceye[.]io<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">interact[.].gateway[.]horizon3ai[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/152[.]32[.]173[.]138\/U26d86f1899513347.5b5b0c1b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/64[.]7[.]199[.]177:18899<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zeetcckhtudizieudqyck5o4ez16y973h[.]oast[.]fun\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/152[.]32[.]173[.]138\/U5213b63dda61af48.0F3Ab3D3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxps:\/\/e598292a5fbd[.]ngrok-free[.]app\/<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/401.jsp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/403.jsp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/1.jsp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">agent[.]sh<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/test.css<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/poc.css<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/cssaaa.css<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">\/mi\/tomcat\/webapps\/mifs\/css\/login.css<\/span><\/li>\n<\/ul>\n<p><em>Mis \u00e0 jour le 23 f\u00e9vrier 2026 \u00e0 9 h 45 (heure du Pacifique) pour mettre \u00e0 jour la section Indicateurs de compromission.<\/em><\/p>\n<p><em>Mis \u00e0 jour le 23 f\u00e9vrier 2026 \u00e0 11 h 56 (heure du Pacifique) pour mettre \u00e0 jour la section Indicateurs de compromission et mettre \u00e0 jour la figure 2.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nous analysons l'exploitation massive des vuln\u00e9rabilit\u00e9s zero-day d'Ivanti EPMM, CVE-2026-1281 et CVE-2026-1340. Des attaquants d\u00e9ploient des webshells et des backdoors.<\/p>\n","protected":false},"author":366,"featured_media":173030,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8769,8850],"tags":[9960,9961,9962,9476,9963],"product_categories":[8956,8965,8973,8955,9041,9077,9155,9083,9151],"coauthors":[9896],"class_list":["post-174291","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-fr","category-vulnerabilities-fr","tag-cve-2026-1281","tag-cve-2026-1340","tag-ivanti","tag-remote-code-execution-fr","tag-reverse-shells","product_categories-advanced-dns-security-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-url-filtering-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xpanse-fr","product_categories-managed-threat-hunting-fr","product_categories-next-generation-firewall-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Deux vuln\u00e9rabilit\u00e9s critiques d&#039;Ivanti EPMM exploit\u00e9es activement<\/title>\n<meta name=\"description\" content=\"Nous analysons l&#039;exploitation massive des vuln\u00e9rabilit\u00e9s zero-day d&#039;Ivanti EPMM, CVE-2026-1281 et CVE-2026-1340. Des attaquants d\u00e9ploient des webshells et des backdoors.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Deux vuln\u00e9rabilit\u00e9s critiques d&#039;Ivanti EPMM exploit\u00e9es activement\" \/>\n<meta property=\"og:description\" content=\"Nous analysons l&#039;exploitation massive des vuln\u00e9rabilit\u00e9s zero-day d&#039;Ivanti EPMM, CVE-2026-1281 et CVE-2026-1340. Des attaquants d\u00e9ploient des webshells et des backdoors.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-17T18:07:19+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-25T19:11:52+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"2000\" \/>\n\t<meta property=\"og:image:height\" content=\"1121\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Justin Moore\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Deux vuln\u00e9rabilit\u00e9s critiques d'Ivanti EPMM exploit\u00e9es activement","description":"Nous analysons l'exploitation massive des vuln\u00e9rabilit\u00e9s zero-day d'Ivanti EPMM, CVE-2026-1281 et CVE-2026-1340. Des attaquants d\u00e9ploient des webshells et des backdoors.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/","og_locale":"fr_FR","og_type":"article","og_title":"Deux vuln\u00e9rabilit\u00e9s critiques d'Ivanti EPMM exploit\u00e9es activement","og_description":"Nous analysons l'exploitation massive des vuln\u00e9rabilit\u00e9s zero-day d'Ivanti EPMM, CVE-2026-1281 et CVE-2026-1340. Des attaquants d\u00e9ploient des webshells et des backdoors.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/","og_site_name":"Unit 42","article_published_time":"2026-02-17T18:07:19+00:00","article_modified_time":"2026-02-25T19:11:52+00:00","og_image":[{"width":2000,"height":1121,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","type":"image\/jpeg"}],"author":"Justin Moore","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Deux vuln\u00e9rabilit\u00e9s critiques d'Ivanti EPMM exploit\u00e9es activement","datePublished":"2026-02-17T18:07:19+00:00","dateModified":"2026-02-25T19:11:52+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/"},"wordCount":2372,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","keywords":["CVE-2026-1281","CVE-2026-1340","Ivanti","Remote Code Execution","reverse shells"],"articleSection":["Menaces de grande envergure","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/","name":"Deux vuln\u00e9rabilit\u00e9s critiques d'Ivanti EPMM exploit\u00e9es activement","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","datePublished":"2026-02-17T18:07:19+00:00","dateModified":"2026-02-25T19:11:52+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Nous analysons l'exploitation massive des vuln\u00e9rabilit\u00e9s zero-day d'Ivanti EPMM, CVE-2026-1281 et CVE-2026-1340. Des attaquants d\u00e9ploient des webshells et des backdoors.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/AdobeStock_1020436911.jpeg","width":2000,"height":1121,"caption":"Futuristic smart city at sunset, illuminated by AI-driven glowing digital networks. The vibrant grid of interconnected lights stretches across urban landscape, blending technology with natural beauty"},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ivanti-cve-2026-1281-cve-2026-1340\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Deux vuln\u00e9rabilit\u00e9s critiques d'Ivanti EPMM exploit\u00e9es activement"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/174291","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=174291"}],"version-history":[{"count":3,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/174291\/revisions"}],"predecessor-version":[{"id":174368,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/174291\/revisions\/174368"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/173030"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=174291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=174291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=174291"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=174291"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=174291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}