Getty Images
Ivanti confirme l'exploitation de deux vulnérabilités inédites
Volexity a signalé les vulnérabilités à Ivanti après avoir découvert que des acteurs soupçonnés d'être des États-nations chinois avaient créé une chaîne d'exploitation pour réaliser une exécution de code à distance.
L'agence américaine de la sécurité des infrastructures et de la cybersécurité (Cisa) a exhorté les entreprises à remédier à deux vulnérabilités inédites, dites zero-day d'Ivanti qui n'ont toujours pas été corrigées, alors que des rapports font état d'une exploitation active par un acteur malveillant d'État-nation chinois.
Ivanti a publié un avis de sécurité mercredi pour une vulnérabilité de contournement d'authentification référencée CVE-2023-46805 qui affecte Ivanti Policy Secure et une faille d'injection de commande référencée CVE-2024-21887 dans Ivanti Connect Secure (ICS) versions 9.x et 22.x. Ces vulnérabilités inédites ont justifié une alerte simultanée de la Cisa enjoignant les utilisateurs et les administrateurs à appliquer des solutions de contournement en attendant qu'Ivanti développe des correctifs. La Cisa a également ajouté ces failles à son catalogue de vulnérabilités connues et exploitées, ce qui oblige les agences fédérales américaines à y remédier rapidement.
La CISA a déclaré qu'Ivanti avait reçu des rapports d'exploitation, mais l'avis de sécurité d'Ivanti n'a pas abordé cette menace. Toutefois, un article de blog distinct publié par Volexity mercredi a révélé que les vulnérabilités inédites ont été exploitées par un acteur étatique. Le fournisseur de cybersécurité a initialement détecté une activité suspecte au cours de la deuxième semaine de décembre.
« Volexity attribue actuellement cette activité à un acteur inconnu qu'il suit sous la désignation UTA0178. Volexity a des raisons de penser que UTA0178 est un acteur de menace de niveau État-nation chinois », écrivent les chercheurs de Volexity dans leur blog.
Avant de signaler les failles à Ivanti, Volexity a découvert que UTA0178 enchaînait les vulnérabilités inédites pour réaliser une exécution de code à distance non authentifiée sur les systèmes vulnérables. Au cours de l'attaque, Volexity a observé l'acteur malveillant voler des données de configuration, modifier des fichiers existants, télécharger des fichiers distants et établir un tunnel inverse à partir de l'appareil ICS VPN. Bien que Volexity ait également insisté sur la nécessité d'une action immédiate, le fournisseur de renseignements sur les menaces a déclaré que les mesures d'atténuation et même les correctifs, lorsqu'ils seront publiés, « ne résoudront pas une compromission antérieure ».
Jusqu'à présent, seul un nombre limité de clients a été compromis, mais les correctifs ne sont pas encore disponibles.
« Ivanti a connaissance de moins de 10 clients touchés par ces vulnérabilités », a déclaré Ivanti dans un courriel adressé à la rédaction de TechTarget.
CVE-2023-46805 a reçu un score CVSS de 8,2, et la CVE-2024-21887 s'est classé plus haut avec un score CVSS de 9,1. Cette dernière a été découverte dans ICS, qui embarque d'un VPN d'accès à distance aux ressources d'un système d'information.
Questions relatives à l'accès sans confiance
L'avis de sécurité d'Ivanti prévient également que si les vulnérabilités sont enchaînées, des attaquants non autorisés peuvent exécuter des commandes arbitraires sur le système. En outre, il aborde la manière dont les failles pourraient affecter les passerelles utilisées pour le contrôle dans son offre d'accès sans confiance, ou zero-trust, Ivanti Neurons for ZTA. La bonne nouvelle est que l'avis souligne que les passerelles ZTA ne peuvent pas être exploitées lorsqu'elles sont en production, mais des risques subsistent.
« Si une passerelle pour cette solution est générée et laissée sans connexion à un contrôleur ZTA, il y a un risque d'exploitation sur la passerelle générée. Ivanti Neurons for Secure Access n'est pas vulnérable à ces CVE ; cependant, les passerelles gérées sont indépendamment vulnérables à ces CVE », a écrit Ivanti dans l'avis de sécurité.
Outre la mention de Volexity dans son avis de sécurité, Ivanti a également félicité Mandiant pour « son partenariat continu ». Des mesures d'atténuation sont actuellement disponibles, mais la première série de correctifs ne sera pas disponible avant la semaine du 22 janvier. Une version finale sera publiée à partir du 19 février.
« Il est essentiel que vous preniez immédiatement des mesures pour vous assurer que vous êtes entièrement protégé », indique l'avis de sécurité, qui contient également un lien vers un article de la base de connaissances proposant des mesures d'atténuation.
Dans un billet de blog mis à jour jeudi dernier au soir, Mandiant indique que l'acteur malveillant a utilisé des shells web, baptisés Lightwire et Wirefire, pour créer des portes dérobées et maintenir un accès persistant aux dispositifs ICS. Sur la base de l'activité post-exploitation, Mandiant a averti que cet acteur, qu'il suit sous le nom d'UNC5221, a anticipé la publication de correctifs : il a déployé Lightwire et Wirefire pour maintenir l'accès, mais les webshells n'étaient que deux des cinq familles de logiciels malveillants utilisées dans les attaques, dont certaines permettent de contourner l'authentification.
« Cela indique qu'il ne s'agit pas d'attaques opportunistes et que UNC5221 avait l'intention de maintenir sa présence sur un sous-ensemble de cibles hautement prioritaires qu'il a compromises, après la publication inévitable d'un correctif », a écrit Mandiant dans son billet de blog.
Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré qu'il était surtout préoccupé par l'absence de correctifs et par le temps d'attente prévu de plusieurs semaines. Il a également évoqué le récent ciblage d'autres produits Ivanti. Au cours de l'été, Ivanti a corrigé trois vulnérabilités critiques inédites qui étaient activement exploitées à un mois d'intervalle, ce qui indique que les attaquants vont probablement en tenir compte.
« Dès qu'un démonstrateur est disponible pour cette chaîne d'exploitation, nous nous attendons à ce que l'activité malveillante augmente, surtout si l'on se base sur l'activité historique ciblant ces produits », a déclaré Satnam Narang dans un courriel adressé à la rédaction de TechTarget.