Skip to content
hacker_posts

Ivanti Neurons for ITSM : escalade admin CVE-2026-9614, avis CERT-FR

L'avis CERTFR-2026-AVI-0677 (2 juin 2026) couvre une élévation de privilèges authentifiée vers admin sur Neurons for ITSM, cloud et on-prem. CVSS 8.8. Patch obligatoire pour les déploiements internes.

Publié le 4 min de lecture
alerteivantiitsmcert-frelevation-privileges

Le CERT-FR a publié le 2 juin 2026 l'avis CERTFR-2026-AVI-0677 couvrant une vulnérabilité dans Ivanti Neurons for ITSM, identifiée CVE-2026-9614. L'avis pointe directement vers le bulletin de sécurité éditeur d'Ivanti daté du 1er juin 2026, publié sur le hub Ivanti. Le score CVSS 3.1 est de 8.8 (Élevé), classification CWE-284 — contrôle d'accès incorrect. Un attaquant déjà authentifié avec des privilèges faibles peut basculer en administrateur de l'instance ITSM. Couverture de confirmation chez SecurityWeek, Cyber Security News et GBHackers.

Ce que fait la faille

Le vecteur CVSS est AV:N / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H. Traduction opérationnelle :

  • Accès réseau depuis n'importe quel client capable de joindre l'interface web ITSM.
  • Un compte authentifié faiblement privilégié suffit — un compte de bénéficiaire de ticket, un utilisateur libre-service, un compte de service mal cadré.
  • Aucune interaction utilisateur côté cible.
  • Compromission complète de l'instance : confidentialité, intégrité, disponibilité.

Le défaut tient à des vérifications d'autorisation insuffisantes : le contrôle d'accès basé sur les rôles peut être contourné par traversée de la frontière d'autorisation, et l'attaquant acquiert les droits d'administrateur de la plate-forme. Sur un ITSM, cela signifie l'accès aux tickets, aux CMDB, aux workflows d'approvisionnement, aux runbooks d'automatisation, et — selon la configuration — la capacité de déclencher des actions sur le SI exposées via les connecteurs.

Versions affectées

Liste reprise de l'avis CERT-FR :

  • Neurons for ITSM (Cloud) versions 2026.1 antérieures à 2026.1 patch 9
  • Neurons for ITSM (Cloud) versions 2026.2 antérieures à 2026.2 patch 1
  • Neurons for ITSM (On-Premises) versions 2025.2 antérieures à 2025.2 Patch 1
  • Neurons for ITSM (On-Premises) versions 2025.3 antérieures à 2025.3 Patch 1
  • Neurons for ITSM (On-Premises) versions 2025.4 antérieures à 2025.4 Patch 1

Le bulletin éditeur précise que les landscapes cloud ont été patchés automatiquement par Ivanti les 24 et 25 mai 2026. Les exploitants on-prem doivent récupérer manuellement les binaires sur le portail Ivanti License System (ILS) et appliquer le correctif sur leur chaîne 2025.2, 2025.3 ou 2025.4.

Statut d'exploitation

  • Ivanti indique ne pas avoir connaissance d'exploitation client au moment de la divulgation.
  • CERT-FR ne signale pas d'exploitation active dans l'avis.
  • Aucun correctif d'urgence supplémentaire n'a été émis depuis la publication. Pas d'IOC publiés par Ivanti.

L'absence de signal d'exploitation au moment de la publication n'est pas une autorisation à attendre. Le profil typique d'Ivanti en 2025-2026 est celui d'un éditeur dont les CVE divulguées sans exploitation deviennent fréquemment des entrées au catalogue KEV de la CISA dans les semaines qui suivent, dès qu'un PoC public émerge ou qu'un acteur opportuniste pivote sur la base de code patchée.

Que faire aujourd'hui

  1. Inventaire d'abord. Si vous n'êtes pas certain d'opérer du Neurons for ITSM, vérifiez votre parc applicatif : la solution est souvent achetée puis intégrée par une équipe support, sans toujours apparaître au CMDB principal. Cherchez les domaines *.ivanticloud.com et les serveurs internes balisés ITSM, HEAT, ou Ivanti Neurons.
  2. Pour les instances cloud, vérifiez que votre tenant tourne en 2026.1 Patch 9 ou 2026.2 Patch 1 — Ivanti l'a poussé, mais une confirmation explicite via le portail n'est pas un luxe. Documentez la version dans votre suivi de patch.
  3. Pour les instances on-prem, téléchargez immédiatement le correctif correspondant à votre branche depuis le portail ILS. Plan de bascule : sauvegarde de la base, fenêtre de maintenance courte, application, vérification de l'authentification d'un compte de test à droits limités après patch.
  4. Renforcez l'authentification. La faille nécessite un compte authentifié — mais un ITSM expose typiquement un portail self-service à des centaines voire des milliers d'utilisateurs internes. MFA obligatoire sur le portail, rotation des secrets des comptes de service, revue des comptes inactifs.
  5. Audit a posteriori des comptes admin. Listez les créations et modifications de comptes administrateurs depuis la version vulnérable la plus ancienne en production. Sur une instance qui tourne en 2025.2 depuis l'an dernier, l'historique à examiner remonte loin.

Contexte

C'est la troisième CVE Ivanti en 2026 qui touche un point d'entrée d'authentification ou d'autorisation : après CVE-2026-1281 sur EPMM (zero-day exploité dès janvier) et plusieurs avis CERT-FR de février-avril sur la même famille de produits, Neurons for ITSM rejoint la liste des plateformes d'administration d'entreprise dont la couche d'autorisation a été reprise plusieurs fois en moins de six mois. Les ITSM concentrent l'identité, les workflows et les automatisations — c'est-à-dire, du point de vue d'un attaquant, un raccourci direct vers la chaîne de changement d'une DSI.

L'observation pratique pour les équipes françaises : Neurons for ITSM est massivement déployé chez les ETI et grands comptes hexagonaux qui ont conservé une partie de l'historique HEAT. Le passage par l'avis CERT-FR n'est pas anodin — il signifie que l'ANSSI considère la vulnérabilité suffisamment importante pour notifier explicitement les opérateurs, et l'avis devient le repère réglementaire à citer en interne pour justifier la fenêtre de maintenance.

Articles liés