Alex - stock.adobe.com

Ivanti révèle une nouvelle vulnérabilité inédite et diffuse des correctifs tardifs

Alors que les clients d’Ivanti peuvent commencer à corriger deux vulnérabilités précédemment divulguées, ils doivent également s’attaquer à deux nouvelles failles pour le même produit.

Ivanti a publié mercredi des correctifs pour deux vulnérabilités critiques inédites, de type 0day, qui ont été révélées au début du mois, mais a également mis en garde ses clients contre deux nouvelles failles, dont une nouvelle 0day qui est activement exploitée.

Dans un avis de sécurité publié le 10 janvier, Ivanti a détaillé deux vulnérabilités inédites d’exécution de code à distance, référencées CVE-2023-46805 et CVE-2024-21887, qui affectaient Ivanti Policy Secure (IPS) et Ivanti Connect Secure (ICS). Une semaine plus tard, Volexity, à qui Ivanti attribue la découverte de la faille, a confirmé que 1 700 appareils dans le monde avaient été compromis depuis le début du mois de décembre. Près d’une centaine de victimes ont été identifiées en France.

Volexity et Mandiant, qui ont également enquêté sur l’activité d’exploitation, ont attribué les attaques à un acteur malveillant de l’État-nation chinois. Les fournisseurs ont également révélé que l’acteur malveillant en question a déployé des shells web pour maintenir un accès persistant aux dispositifs ICS vulnérables, ce qui rend l’atténuation encore plus difficile.

Alors qu’Ivanti a annoncé mercredi la première série de correctifs pour CVE-2023-46805 et CVE-2024-21887, le groupe a également révélé deux nouvelles vulnérabilités dans ICS et IPS.

L’une d’entre elles est une vulnérabilité d’élévation de privilèges référencée CVE-2024-21888, et l’autre est une vulnérabilité de falsification des requêtes côté serveur référencée CVE-2024-21893. Ivanti a averti que cette dernière est une vulnérabilité inédite susceptible de permettre à un attaquant non authentifié d’accéder à certaines ressources restreintes et qu’elle fait l’objet d’une exploitation active.

« Au moment de la publication, l’exploitation de la CVE-2024-21893 semble être ciblée. Ivanti s’attend à ce que l’acteur malveillant change de comportement et nous prévoyons une forte augmentation de l’exploitation, une fois que cette information sera rendue publique, similaire à ce que nous avons observé le 11 janvier après la divulgation du 10 janvier », a écrit Ivanti dans un avis de sécurité mis à jour.

Ivanti a déclaré n’avoir « aucune indication » d’exploitation de la CVE-2024-21888 contre des clients. Le correctif publié mercredi comprend une correction des quatre vulnérabilités pour les versions ICS 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1, et la version ZTA 22.6R1.3 ; cependant, il s’agit d’un processus en plusieurs étapes.

« Par souci de prudence, nous recommandons aux clients de réinitialiser leur appareil avant d’appliquer le correctif, afin d’empêcher l’acteur malveillant d’obtenir une mise à jour persistante dans votre environnement », indique l’avis.

Ivanti renvoie ses utilisateurs à un article de la base de connaissances et les avertit que le processus prend trois à quatre heures. Outre la complexité du processus de correction, Ivanti a repoussé la date de publication du correctif pour les précédentes vulnérabilités de type inédites, qui était initialement prévue pour la semaine du 22 janvier.

Les défis de l’après-compromis

Mardi, l’Agence américaine de la sécurité des infrastructures et de la cybersécurité (Cisa) a publié une alerte invitant les clients d’Ivanti à appliquer les correctifs et les mesures d’atténuation dès qu’ils sont disponibles en raison de l’exploitation en cours. L’alerte indique que les acteurs malveillants exploitent les vulnérabilités pour collecter des informations d’identification et déployer des webshells qui permettent de compromettre davantage les réseaux des victimes.

« Certains acteurs malveillants ont récemment mis au point des solutions de contournement des méthodes d’atténuation et de détection actuelles et ont été en mesure d’exploiter les faiblesses, de se déplacer latéralement et d’élever leurs privilèges sans être détectés », écrit la Cisa dans l’alerte. « La Cisa a connaissance de cas dans lesquels des acteurs sophistiqués ont détourné l’outil de vérification de l’intégrité externe (ICT), minimisant ainsi les traces de leur intrusion ».

L’ICT aide à détecter les activités malveillantes, et Ivanti a ajouté une nouvelle fonctionnalité qu’elle a vivement conseillé aux utilisateurs d’exécuter. La Cisa a recommandé aux organisations qui utilisent les versions ICS 9.x et 22.x et les passerelles Policy Secure, depuis la divulgation publique, de mettre en œuvre « une chasse aux menaces continue sur tous les systèmes connectés à – ou récemment connectés à – l’appareil Ivanti ». L’alerte encourage également les entreprises à surveiller l’authentification et l’utilisation des comptes et à mettre en place des services de gestion de l’identité.

Cette alerte fait suite à la directive d’urgence de la Cisa du 19 janvier, qui demande aux agences fédérales américaines d’atténuer les effets des failles CVE-2023-46805 et CVE-2024-21887. La directive d’urgence a également confirmé que la CISA avait observé une exploitation généralisée des vulnérabilités Ivanti. Outre les risques énumérés dans l’alerte, la CISA a déclaré que l’exploitation pouvait entraîner la compromission totale du système d’information. La Cisa avait donné aux agences une date limite d’atténuation fixée au 22 janvier.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)