Ivanti : des vulnérabilités inédites exploitées en chaîne

Ivanti a déclaré qu’un nombre limité des clients de Cloud Service Application (CSA) ont été attaqués par des chaînes d’exploitation s’appuyant sur plusieurs vulnérabilités de type 0day.

Dans un billet de blog publié mardi, Ivanti s’est dit « au courant d’un nombre limité de clients utilisant CSA 4.6 patch 518 et antérieurs qui ont été exploités lorsque la CVE-2024-9379, la CVE-2024-9380 ou la CVE-2024-9381 sont enchaînées avec la CVE-2024-8963 ». Aucun autre produit ou version d’Ivanti n’est concerné.

La vulnérabilité principale, la CVE-2024-8963, est une vulnérabilité critique de traversée de chemin dévoilée pour la première fois le 19 septembre. Elle permet à « un attaquant distant non authentifié d’accéder à des fonctionnalités restreintes », selon un avis de sécurité. Bien qu’Ivanti ait initialement corrigé la vulnérabilité dans un correctif du 10 septembre, le fournisseur a déclaré que la version 4.6 de CSA était en fin de vie et que « les clients doivent passer à la version 5.0 d’Ivanti CSA pour continuer à bénéficier du support ».

Les autres vulnérabilités ont été dévoilées le 8 octobre et affectent CSA 5.0.1 et les versions antérieures. La CVE-2024-9379 est une faille d’injection SQL de sévérité moyenne (CVSS 6.5) dans la console web d’administration de CSA. Elle « permet à un attaquant distant authentifié disposant de privilèges d’administrateur d’exécuter des instructions SQL arbitraires ». La CVE-2024-9380 est une faille d’injection de commande de système d’exploitation de sévérité élevée (CVSS 7.2) dans la console web d’administration qui « permet à un attaquant distant authentifié disposant des privilèges d’administrateur d’obtenir une exécution de code à distance ». La CVE-2024-9381 est une faille de haute sévérité (CVSS 7.2) de traversée de chemin qui « permet à un attaquant distant authentifié disposant des privilèges d’administrateur de contourner les restrictions ».

En ce qui concerne les nouvelles chaînes d’exploitation, Ivanti a déclaré que seuls les utilisateurs des versions CSA 4.6 patch 518 et antérieures ont été concernés par les attaques. En conséquence, la seule solution proposée par l’éditeur aux utilisateurs est de passer à la version 5.0.2 de la CSA.

Ces vulnérabilités constituent la dernière série de failles sérieuses dans les produits Ivanti qui ont été exploitées ces dernières semaines. Le mois dernier, la CISA a ajouté à son catalogue de vulnérabilités exploitées connues la CVE-2024-7593, une faille de gravité critique de contournement de l’authentification dans le Virtual Traffic Manager d’Ivanti. La CVE-2024-8963 susmentionnée découle de la faille CSA de haute sévérité CVE-2024-8190, qui a également été exploitée dans des attaques.