CVE-2026-1346 : escalade root dans IBM Verify Access (9.3)

Les faits

La vulnérabilité CVE-2026-1346, publiée le 8 avril 2026 par IBM, affecte deux produits majeurs de gestion des identités et des accès : IBM Verify Identity Access et IBM Security Verify Access. Avec un score CVSS de 9.3 classé critique, cette faille permet à un utilisateur localement authentifié d'escalader ses privilèges jusqu'au niveau root, obtenant ainsi un contrôle total sur le système affecté. Le bulletin de sécurité IBM confirme que certains composants de ces produits s'exécutent avec des privilèges excessifs.

Le problème fondamental réside dans le fait que des processus qui devraient fonctionner avec des permissions limitées s'exécutent en tant que root. Un attaquant disposant d'un accès légitime au système, même avec des droits minimaux, peut exploiter ce contexte d'exécution surprivilégié pour forcer le composant vulnérable à effectuer des actions avec les privilèges root. IBM a publié les correctifs sous forme d'Interim Fixes : IBM Verify Identity Access v11.0.2 IF1 et IBM Security Verify Access v10.0.9.1 IF1, disponibles sur le portail de support officiel.

IBM Verify Identity Access et IBM Security Verify Access sont déployés dans de nombreuses entreprises et administrations pour gérer l'authentification unique (SSO), les politiques d'accès et la fédération d'identités. Ces solutions occupent une position critique dans l'infrastructure de sécurité des organisations, ce qui rend cette vulnérabilité particulièrement préoccupante. Cette faille s'inscrit dans une série de vulnérabilités critiques touchant les solutions de gestion d'identités ces dernières semaines.

Impact et exposition

L'exploitation requiert un accès local authentifié, ce qui limite le vecteur d'attaque par rapport à une faille exploitable à distance. Cependant, dans les scénarios réels, cette condition est fréquemment remplie : un attaquant ayant compromis un compte utilisateur à faibles privilèges via une autre vulnérabilité ou du phishing peut utiliser CVE-2026-1346 comme vecteur d'escalade pour obtenir un contrôle total du système. Les déploiements conteneurisés sont particulièrement exposés car la compromission root dans un conteneur IBM Verify peut permettre une évasion de conteneur selon la configuration de l'orchestrateur. Les versions concernées couvrent l'ensemble des branches actives des deux produits : IBM Verify Identity Access Container 11.0 à 11.0.2 et IBM Security Verify Access Container 10.0 à 10.0.9.1. Compte tenu du rôle central de ces solutions dans la chaîne d'authentification, une compromission pourrait permettre à un attaquant de manipuler les politiques d'accès, créer des comptes privilégiés, ou intercepter des tokens d'authentification. Les failles récentes dans d'autres équipements critiques montrent que les attaquants ciblent activement ce type d'infrastructure.

Recommandations immédiates

• Appliquer IBM Verify Identity Access v11.0.2 IF1 ou IBM Security Verify Access v10.0.9.1 IF1 selon votre version — bulletin de sécurité IBM Node 7268253
• Auditer les comptes utilisateurs ayant accès aux conteneurs IBM Verify et révoquer les accès non nécessaires
• Vérifier les logs d'audit pour identifier toute activité suspecte d'escalade de privilèges : commandes exécutées en tant que root par des processus non-root
• Renforcer l'isolation des conteneurs IBM Verify : activer les profils AppArmor/SELinux, désactiver les capacités Linux non nécessaires
• Mettre en place une surveillance renforcée des processus s'exécutant avec des privilèges élevés sur les systèmes hébergeant IBM Verify