La CISA et le FBI ont averti aujourd’hui que les attaquants exploitaient toujours les failles de sécurité des appliances de service Cloud Ivanti (CSA) corrigées depuis septembre pour violer les réseaux vulnérables.
Les vulnérabilités enchaînées dans ces attaques incluent CVE-2024-8963 (un contournement d’authentification administrateur corrigé en septembre) et CVE-2024-8190 (un bogue d’exécution de code à distance corrigé le même mois). Deux autres bogues, CVE-2024-9379 (une injection SQL) et CVE-2024-9380 (une vulnérabilité d’exécution de code à distance), ont tous deux été corrigés en octobre.
Les quatre bogues ont déjà été marqués comme exploités lors d’attaques zero-day. CISA les a ajoutés à son Catalogue de vulnérabilités exploitées connues et a ordonné aux agences de la Branche Exécutive Civile Fédérale (FCEB) de sécuriser leurs appareils conformément à la Directive opérationnelle contraignante (BOD) 22-01.
« Selon la CISA et les données de réponse aux incidents de tiers de confiance, les acteurs de la menace ont enchaîné les vulnérabilités répertoriées pour obtenir un accès initial, exécuter du code à distance (RCE), obtenir des informations d’identification et implanter des webshells sur les réseaux des victimes », a déclaré mercredi l’agence américaine de cybersécurité.
« Les principaux chemins d’exploitation des acteurs étaient deux chaînes de vulnérabilités. Une chaîne d’exploits exploitait CVE-2024-8963 conjointement avec CVE-2024-8190 et CVE-2024-9380 et les autres exploitaient CVE-2024-8963 et CVE-2024-9379. Dans un compromis confirmé, les acteurs se sont déplacés latéralement vers deux serveurs. »
CISA et FBI « encouragent fortement » désormais tous les administrateurs réseau à mettre à niveau leurs appliances vers la dernière version d’Ivanti CSA prise en charge pour contrecarrer les attaques en cours qui pourraient cibler leurs systèmes.
Il leur est également conseillé de « rechercher » des signes d’activité malveillante sur leurs réseaux à l’aide des indicateurs de compromission (IOC) et des méthodes de détection partagés dans l’avis.
« Les informations d’identification et les données sensibles stockées dans les appliances Ivanti concernées doivent être considérées comme compromises », ont averti la CISA et le FBI. « Les organisations doivent collecter et analyser les journaux et les artefacts à la recherche d’activités malveillantes et appliquer les recommandations de réponse aux incidents contenues dans cet avis. »
Ce flux de vulnérabilités activement exploitées est survenu alors qu’Ivanti intensifiait ses capacités de test et d’analyse interne et a déclaré qu’il améliorait son processus de divulgation responsable pour corriger les failles de sécurité plus rapidement.
Plusieurs autres vulnérabilités ont été exploitées en tant que zero days l’année dernière lors d’attaques généralisées contre des appliances Ivanti VPN vulnérables et des passerelles ICS, IPS et ZTA.
De plus, depuis le début de l’année 2025, les appliances VPN sécurisées Ivanti Connect ont également été ciblées par un acteur présumé d’espionnage China-nexus (suivi sous le nom UNC5221) dans le cadre d’attaques zero-day d’exécution de code à distance qui les ont infectées avec de nouveaux logiciels malveillants Dryhook et Phasejam.
La liste des clients d’Ivanti comprend plus de 40 000 entreprises dans le monde entier qui utilisent ses produits pour gérer les systèmes et les actifs informatiques.