Ivanti : de nouvelles vulnérabilités activement exploitées

Trois vulnérabilités dans les produits Ivanti ont commencé à être exploitées par des acteurs malveillants au cours des dernières semaines, notamment deux affectant son appliance Cloud Services (CSA).

L'agence américaine de la sécurité des infrastructures et de la cybersécurité (CISA) a ajouté la vulnérabilité CVE-2024-7593 au catalogue des vulnérabilités connues pour être exploitées dans des cyberattaques. Cette faille touche Virtual Traffic Manager (vTM) d'Ivanti et consiste en un contournement d'authentification. Critique, avec un score CVSS de 9.8, elle a été dévoilée le 12 août 2024. Ivanti a publié des correctifs le 19 août mais a confirmé qu'un démonstrateur d'exploitation est désormais disponible.

Une autre vulnérabilité critique, référencée CVE-2024-8963, affecte l'appliance Cloud Services (CSA) 4.6, un produit désormais en fin de vie. Bien qu'Ivanti ait confirmé que cette faille avait été exploitée - elle a été dévoilée le 16 septembre -, elle ne constitue pas une vulnérabilités inédite, de type 0day, car un correctif a été publié plusieurs jours plus tôt. De fait, la CVE-2024-8963 découle d'une autre vulnérabilité, référencée CVE-2024-8190, dévoilée le 10 septembre et corrigée avec le correctif 519. 

Les vulnérabilités d'Ivanti sont devenues des cibles pour divers acteurs malveillants, allant des cybercriminels aux groupes soutenus par des États. La CISA a ainsi alerté, plus tôt cette année, de l'exploitation de vulnérabilités inédites affectant des produits d'Ivanti par des acteurs soutenus par l'État chinois.