Ivanti Connect Secure : une faille inédite activement exploitée

Une vulnérabilité critique affectant les passerelles Connect Secure, Policy Secure et ZTA d'Ivanti est activement exploitée, a révélé mercredi l'éditeur de solutions de sécurité réseau.

La vulnérabilité, référencée CVE-2025-0282, est une vulnérabilité de débordement de mémoire tampon basée sur la pile qui a reçu un score CVSS de 9.0. Cette faille inédite, de type 0day, affecte les versions d'Ivanti Connect Secure antérieures à 22.7R2.5, les versions d'Ivanti Policy Secure antérieures à 22.7R1.2, et les versions d'Ivanti Neurons for ZTA gateways antérieures à 22.7R2.3. Selon un avis de sécurité d'Ivanti publié mercredi, la faille « permet à un attaquant distant non authentifié d'exécuter du code à distance ».

Ivanti a également rendu publique la CVE-2025-0283, une vulnérabilité de débordement de mémoire tampon basée sur la pile qui affecte les mêmes versions des produits Ivanti, mais qui permet à un attaquant local authentifié d'élever ses privilèges. La CVE-2025-0283 est une vulnérabilité de haute sévérité avec un score CVSS de 7.0.

Ivanti a déclaré dans son avis de sécurité être « consciente qu'un nombre limité d'appliances Ivanti Connect Secure de clients sont exploitées par la CVE-2025-0282 au moment de la divulgation », mais qu'elle n'est pas consciente que les CVE sont exploitées dans les passerelles Policy Secure ou ZTA. Le fournisseur a déclaré ne pas avoir connaissance d'exploitations de la CVE-2025-0283 au moment de la divulgation. L'exploitation de la CVE-2025-0282 est détectable avec l'outil Integrity Checker Tool (ICT) d'Ivanti.

Mandiant et le Threat Intelligence Center de Microsoft ont été cités dans l'avis. Ivanti a déclaré avoir découvert la CVE-2025-0283 au cours d'une chasse aux menaces pour la vulnérabilité 0day. Des correctifs sont disponibles dès maintenant pour les versions vulnérables d'Ivanti Connect Secure. Dans le cas des passerelles Policy Secure et ZTA, Ivanti prévoit de rendre les correctifs disponibles le 21 janvier.

Dans un billet de blog publié parallèlement à l'avis mercredi, Ivanti dit avoir détecté l'activité d'un acteur malveillant via l'ICT le jour même où cette activité s'est produite, « ce qui a permis à Ivanti de réagir promptement et de développer rapidement un correctif ».

« Nous continuons à travailler en étroite collaboration avec les clients concernés, les partenaires externes en matière de sécurité et les autorités chargées de l'application de la loi pour répondre à cette menace », peut-on lire sur le blog. Et Ivanti de conseiller « vivement à tous [ses] clients de surveiller de près leurs ICT internes et externes dans le cadre d'une approche robuste et stratifiée de la cybersécurité afin de garantir l'intégrité et la sécurité de l'ensemble de l'infrastructure du réseau ».

La CVE-2025-0282 est le dernier 0day d'Ivanti à être divulgué au cours des 12 derniers mois. En octobre, Ivanti a révélé que des acteurs malveillants chaînaient les vulnérabilités pour cibler les clients des applications de services Cloud. En janvier 2024, deux vulnérabilités inédites d'Ivanti Policy et Connect Secure, les CVE-2023-46805 et CVE-2024-21887, ont fait l'objet d'une exploitation massive et de nombreuses victimes, dont l'agence américaine de la sécurité des infrastructures et de la cybersécurité (CISA).

Dans l'Hexagone, le CERT-FR a également alerté sur l'exploitation des nouvelles vulnérabilités. Dans un billet de blog, Mandiant détaille les activités malveillantes ayant été constatées dans le cadre de l'exploitation de ces toutes dernières vulnérabilités inédites affectant des produits Ivanti. Il les attribue à l'acteur suivi sous la référence UNC5337, sous-groupe d'UNC5221 renvoyant à la Chine. L'exploitation des CVE-2023-46805 et CVE-2024-21887 lui avait déjà été attribué.