CISA a averti les agences fédérales américaines de sécuriser leurs réseaux contre les attaques exploitant trois vulnérabilités critiques affectant les appliances Ivanti Endpoint Manager (EPM).
Les trois failles (CVE-2024 – 13159, CVE-2024-13160 et CVE-2024-13161) sont dues à des faiblesses absolues de traversée de chemin qui peuvent permettre à des attaquants distants non authentifiés de compromettre complètement les serveurs vulnérables.
Ils ont été signalés en octobre par Horizon3.ai chercheur en vulnérabilité Zach Hanley et patché par Ivanti le 13 janvier. Un peu plus d’un mois plus tard, Horizon3.ai également publié des exploits de validation de principe qui peuvent être utilisés dans des attaques par relais pour une coercition non authentifiée des informations d’identification de la machine Ivanti EPM.
Lundi, CISA a ajouté les trois vulnérabilités à son catalogue de vulnérabilités exploitées connues, qui répertorie les failles de sécurité que l’agence de cybersécurité a marquées comme exploitées à l’état sauvage. Les agences de l’Exécutif civil fédéral (FCEB) ont désormais trois semaines, jusqu’au 31 mars, pour sécuriser leurs systèmes contre les attaques en cours, comme le prescrit la Directive opérationnelle contraignante (BOD) 22-01 publiée en novembre 2021.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale. »CISA a dit. « Bien que la DBO 22-01 ne s’applique qu’aux agences FCEB, la CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. »
Ivanti n’a pas encore mis à jour son avis de sécurité après que CISA a identifié les vulnérabilités comme étant activement exploitées dans des attaques.
En janvier, la CISA et le FBI ont averti que les attaquants exploitaient toujours les failles de sécurité des appliances de service Cloud Ivanti (CSA) corrigées depuis septembre pour violer les réseaux vulnérables.
Plusieurs autres vulnérabilités Ivanti ont été exploitées en tant que zero-days au cours de l’année écoulée lors d’attaques généralisées ciblant les appliances VPN et les passerelles ICS, IPS et ZTA de l’entreprise.
Depuis le début de l’année 2025, un acteur présumé de l’espionnage China-nexus (suivi sous le numéro UNC5221) a également ciblé les appliances VPN sécurisées Ivanti Connect, les infectant avec de nouveaux logiciels malveillants Dryhook et Phasejam à la suite d’attaques zero-day réussies d’exécution de code à distance.
Ivanti s’associe à plus de 7 000 organisations dans le monde entier pour fournir des solutions de gestion des systèmes et des actifs informatiques à plus de 40 000 entreprises.