Vulnérabilités Ivanti Connect Secure : près d’une centaine de victimes identifiées en France

Cela n’aura pas traîné. Veloxity a alerté, hier 15 janvier 2024, de l’exploitation en masse des deux vulnérabilités inédites affectant Ivanti Connect Secure VPN et Policy Secure dévoilées la semaine dernière. 

Pour mémoire, Ivanti a publié un avis de sécurité mercredi dernier pour une vulnérabilité de contournement d’authentification référencée CVE-2023-46805 qui affecte Ivanti Policy Secure et une faille d’injection de commande référencée CVE-2024-21887 dans Ivanti Connect Secure (ICS) versions 9.x et 22.x. Ces vulnérabilités inédites ont justifié une alerte simultanée de l’homologue américain l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’agence américaine de la sécurité des infrastructures et de la cybersécurité (Cisa), enjoignant les utilisateurs et les administrateurs à appliquer des solutions de contournement en attendant qu’Ivanti développe des correctifs. La Cisa a également ajouté ces failles à son catalogue de vulnérabilités connues et exploitées, ce qui oblige les agences fédérales américaines à y remédier rapidement. De son côté, le CERT-FR a publié une alerte le 11 janvier.

Après une exploitation initiale discrète et particulièrement ciblée, l’exploitation plus large de ces deux vulnérabilités était attendue. Dans un billet de blog publié ce 15 janvier, Veloxity indique avoir constaté la compromission de lus de 1 700 systèmes exposés sur Internet.

ShadowServer a recensé près de 280 adresses IP en France exposant un système affecté par ces vulnérabilités. De son côté, le spécialiste de la surface d’attaque exposée Onyphe a identifié 82 adresses IP en France et sur le domaine .fr exposant des systèmes non seulement vulnérables, mais déjà compromis : un implant malveillant a pu y être détecté. Dans le monde entier, selon ses données, ce sont près de 1 130 noms de domaine uniques qui sont concernés. 

Des mesures d’atténuation peuvent être appliquées depuis la semaine dernière, mais la première série de correctifs ne sera pas disponible avant la semaine du 22 janvier. Une version finale sera publiée à partir du 19 février. Ces délais n’ont pas manqué de valoir à Ivanti des commentaires très critiques de la part du CERT du secteur public du Luxembourg, le CIRCL.

Dans son bulletin d’alerte, il estime ainsi qu’il « est presque réconfortant de voir notre fournisseur déployer enfin des correctifs de sécurité, bien qu’à un rythme qui mettrait un escargot dans l’embarras ». 

Et d’ajouter : « entre-temps, alors que nous attendons en retenant notre souffle, ce pourrait être un excellent moment pour se demander si notre fournisseur de VPN actuel est un champion de la cybersécurité ou simplement un champion de la mise à l’épreuve de notre patience ».

L’application des mesures d’atténuation apparaît en outre d’autant plus urgente que ces vulnérabilités comptent parmi celles pour lesquelles le déploiement des correctifs n’est pas suffisant, une fois la compromission survenue.