Détecter l’exploitation de CVE-2023-35078 : Zero-Day critique de contournement d’authentification dans Ivanti Endpoint Manager Mobile (EPMM)

[post-views]
juillet 26, 2023 · 4 min de lecture
Détecter l’exploitation de CVE-2023-35078 : Zero-Day critique de contournement d’authentification dans Ivanti Endpoint Manager Mobile (EPMM)

Attention à la cybersécurité ! Après une série de failles de sécurité dans l’appliance SSL VPN Pulse Connect Secure ayant affecté plusieurs organisations en 2021, une nouvelle faille critique de type zero-day a récemment été révélée dans les produits Ivanti. Le nouveau problème de sécurité affectant Ivanti Endpoint Manager Mobile (EPMM) permet un accès API distant non authentifié à des chemins spécifiques. En exploitant la faille, les adversaires pourraient obtenir des informations personnellement identifiables (PII) et d’autres données sensibles stockées sur des appareils exposés, ainsi qu’introduire des modifications malveillantes dans les systèmes affectés. L’avis d’Ivanti confirme que cette faille critique de type zero-day a déjà été exploitée dans la nature contre un nombre limité de clients, tandis que des portails d’actualité pointent vers le gouvernement norvégien comme une victime potentielle de l’attaque CVE-2023-35078.

Détection CVE-2023-35078

Pour aider les défenseurs cyber à identifier proactivement les activités suspectes associées à l’exploitation du CVE-2023-25078 et rationaliser les activités de chasse aux menaces, la plateforme SOC Prime pour la défense cyber collective agrège un ensemble de règles Sigma dédiées. Toutes les détections sont compatibles avec 28 technologies SIEM, EDR et XDR, et alignées sur le cadre MITRE ATT&CK v12 pour faciliter l’exploration approfondie de la menace critique.

Pour explorer la liste complète des règles organisées, cliquez sur le bouton Explorez les Détections ci-dessous. Les professionnels de la sécurité peuvent accéder à un vaste contexte de menaces cyber accompagnées de références ATT&CK et de liens CTI, ainsi qu’obtenir des métadonnées plus pertinentes correspondant aux besoins de sécurité actuels et renforçant l’enquête sur les menaces.

Explorez les Détections

Analyse CVE-2023-35078

Le 24 juillet 2023, Ivanti a publié un avis qui détaille la faille critique zero-day et fournit des correctifs pour la faille. Selon le fournisseur, le bug récemment identifié dans Ivanti EPMM (avec le score CVSS le plus élevé de 10.0) permet à des acteurs menaçants non autorisés d’accéder aux fonctionnalités et ressources restreintes de l’application sans authentification adéquate.

La vulnérabilité d’accès API non authentifié à distance impacte toutes les versions actuellement supportées du logiciel (v11.10, 11.9, 11.8) ainsi que des versions plus anciennes qui ne sont plus supportées. Étant donné que les experts en défense cyber considèrent la faille extrêmement facile à exploiter, tous les utilisateurs sont exhortés à appliquer les correctifs dès que possible en installant les versions 11.10.0.2, 11.9.1.1. et 11.8.1.1.

Pourtant, les chercheurs estiment que la majorité des organisations restent non corrigées, avec 2 900 portails EPMM exposés sur Internet, selon Shodan. La plupart de ces serveurs ont été identifiés aux États-Unis, dans l’UE, au Royaume-Uni et à Hong Kong. Notamment, les experts estiment que les gouvernements du Royaume-Uni et des États-Unis pourraient devenir victimes des attaques CVE-2023-35078. Dimanche, CISA a émis une alerte de sécurité incitant les utilisateurs à combler immédiatement la faille de sécurité.

Optimisez vos défenses en cybersécurité avec la Plateforme SOC Prime, qui propose un contenu de détection complet contre toutes les TTP utilisées dans les cyberattaques en cours. Restez à jour avec les derniers algorithmes de détection comportementale prêts à déployer, assurant que votre organisation est bien préparée pour contrer les menaces évolutives. Explorez une richesse d’informations contextuelles sur les cyberattaques et menaces, y compris les zero-days, les références CTI et ATT&CK, ainsi que des informations sur les outils Red Team. Validez facilement votre pile de détection avec un audit ATT&CK en lecture seule automatique, identifiant les angles morts et les adressant proactivement pour atteindre une visibilité complète des menaces en fonction des journaux spécifiques de votre organisation. Avec la Plateforme SOC Prime, équipez votre équipe des bons outils et connaissances pour se défendre efficacement contre les menaces émergentes.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Blog, Dernières Menaces — 7 min de lecture
Vulnérabilité CVE-2025-49144 : Faille critique d’élévation de privilèges dans Notepad++ menant à une prise de contrôle complète du système
Veronika Telychko
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Blog, Dernières Menaces — 6 min de lecture
Exploitation des vulnérabilités CVE-2025-6018 et CVE-2025-6019 : Enchaînement des failles d’escalade de privilèges locaux permettant aux attaquants d’obtenir un accès root sur la plupart des distributions Linux
Veronika Telychko
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Blog, Dernières Menaces — 6 min de lecture
Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes
Veronika Telychko