Ivanti MobileIron, Citrix ShareFile : la valse des vulnérabilités critiques se poursuit

Deux mois après que Citrix ait publié un correctif, une vulnérabilité critique dans son produit de transfert de fichiers managé, ShareFile, apparaît activement exploitée.

L’agence américaine de la cybersécurité et de la sécurité des infrastructures, la CISA, l’a ajoutée à son catalogue de vulnérabilités exploitées connues, en raison d’une exploitation active qui semble s’intensifier.

La vulnérabilité liée à un contrôle d’accès inapproprié, référencée CVE-2023-24489, affecte le contrôleur de zones de stockage ShareFile gérées par les clients avant la version 5.11.24 et a reçu un score CVSS critique de 9.8. Citrix a averti que l’exploitation de cette vulnérabilité pourrait permettre à un attaquant non authentifié de compromettre à distance ShareFile et a demandé aux utilisateurs de passer à la version corrigée. Cette dernière est diffusée depuis 11 mois. Selon Citrix, avant sa révélation publique en juin, 83 % des clients avaient procédé à la mise à jour.

Deux mois plus tard, cette vulnérabilité est activement exploitée. Le fournisseur GreyNoise dit lui-même le constater : « GreyNoise a observé une augmentation significative de l’activité des attaquants le jour où la CISA a ajouté la référence CVE-2023-24489 à son catalogue de vulnérabilités exploitées connues ». Le 15 août, 72 adresses IP au moins tentaient d’exploiter cette vulnérabilité.

De son côté, Ivanti alerte depuis ce 21 août d’une vulnérabilité critique affectant Sentry (anciennement MobileIron Sentry), la CVE-2023-38035 : « cette vulnérabilité affecte toutes les versions supportées – Versions 9.18. 9.17 et 9.16. Les versions antérieures sont également concernées. Cette vulnérabilité n’affecte pas d’autres produits ou solutions Ivanti, tels que Ivanti EPMM, MobileIron Cloud ou Ivanti Neurons for MDM ».

L’exploitation réussie de cette vulnérabilité « permet à un acteur non authentifié d’accéder à certaines API sensibles utilisées pour configurer Ivanti Sentry sur le portail administrateur (généralement, MICS) ». Le risque d’exploitation est « bas » pour les entreprises n’exposant pas le port 8443 sur Internet, précise Ivanti. 

Il y a moins d’un mois, Ivanti avait corrigé une vulnérabilité critique pour Endpoint Manager Mobile (EPMM, anciennement MobileIron Core), la CVE-2023-35078. Selon la CISA, celle-ci était exploitée par des attaquants liés à des États-nations depuis au moins le mois d’avril. La Norvège compte parmi les cibles touchées : lors d’une conférence de presse du 24 juillet, l’Autorité de sécurité nationale norvégienne et l’Organisation de sécurité et de services du gouvernement norvégien (DSS) ont indiqué que la CVE-2023-35078 avait été exploitée « pour mener à bien l’attaque de données contre l’Organisation de sécurité et de services du gouvernement norvégien (DSS) ».