Vulnérabilités 0-day dans Ivanti Connect Secure VPN et Policy Secure Gateway 

Le CERT-FR a récemment émis un bulletin d’alerte mettant en garde contre deux vulnérabilités 0-day découvertes dans les produits Ivanti Connect Secure VPN et Policy Secure Gateway. 

Le 10 janvier 2024, les experts en sécurité de Volexity ont détecté une attaque active exploitant ces vulnérabilités. Les attaquants ont utilisé des codes malveillants pour accéder à distance au VPN Ivanti sans nécessiter d’authentification. 

Nature des vulnérabilités

Les vulnérabilités, identifiées sous les références CVE-2023-46805 et CVE-2024-21887, présentent des impacts sérieux, avec des scores CVSS de 8.2 et 9.1 respectivement. L’exploitation conjointe de ces deux failles permet à l’attaquant d’exercer un contrôle total sur l’équipement ciblé. 

Les conséquences de ces vulnérabilités sont graves, permettant aux attaquants de voler des données, modifier des fichiers, télécharger des fichiers à distance, et même compromettre l’accès total aux systèmes du réseau en modifiant un fichier JavaScript pour enregistrer les informations d’identification des utilisateurs. 

Mesures de contournement en attendant les correctifs

En réponse à ces vulnérabilités, Ivanti a publié des mesures de contournement sous la forme d’un fichier XML à importer, nommé mitigation.release.20240107.1.xml. Parallèlement, Volexity propose des règles de détection YARA et des indicateurs de compromission pour aider à repérer toute exploitation de ces vulnérabilités. 

D’après Onyphe, 371 adresses IP uniques sont vulnérables actuellement en France.

Pour plus de détails, veuillez consulter l’alerte du CERT-FR.

Partager :

• Partager cette page sur Linkedin
• Imprimer