La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a révélé aujourd’hui que les attaquants qui piratent les appliances Ivanti VPN en utilisant l’une des multiples vulnérabilités activement exploitées peuvent être en mesure de maintenir la persistance racine même après avoir effectué des réinitialisations d’usine.
De plus, ils peuvent également échapper à la détection par l’outil de vérification d’intégrité interne et externe d’Ivanti (ICT) sur les passerelles sécurisées Ivanti Connect et Policy Secure compromises à l’aide des exploits CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 et CVE-2024-21893.
Les cotes de gravité des quatre vulnérabilités vont de élevée à critique, et elles peuvent être exploitées pour le contournement de l’authentification, l’injection de commandes, la falsification de requêtes côté serveur et l’exécution arbitraire de commandes.
CISA a constaté que l’Ivanti ICT n’avait pas détecté de compromission lors de l’enquête sur plusieurs incidents de piratage impliquant des appliances Ivanti piratées. Cela s’est produit parce que les shells Web trouvés sur les systèmes ne présentaient aucune incompatibilité de fichiers, selon ICT d’Ivanti.
De plus, l’analyse médico-légale a révélé que les attaquants ont couvert leurs traces en écrasant des fichiers, en accélérant les fichiers et en remontant la partition d’exécution pour restaurer l’appliance compromise à un « état propre ». »
Cela montre que les analyses TIC n’étaient pas toujours fiables pour détecter les compromis précédents et peuvent créer un faux sentiment de sécurité que l’appareil est exempt de tout compromis, selon CISA. Ivanti a maintenant publié un outil de vérification d’intégrité externe mis à jour pour résoudre les problèmes de son scanner précédent.
De plus, l’agence américaine de cybersécurité pourrait confirmer de manière indépendante dans un laboratoire de test que plus que l’ICT d’Ivanti est nécessaire pour détecter correctement les compromis, car les acteurs de la menace pourraient obtenir une persistance au niveau racine entre les réinitialisations d’usine.
« Lors de multiples engagements de réponse aux incidents associés à cette activité, CISA a identifié que les TIC internes et externes précédentes d’Ivanti n’avaient pas détecté de compromission », a averti CISA jeudi.
« De plus, CISA a mené des recherches indépendantes dans un environnement de laboratoire validant que l’ICT Ivanti n’est pas suffisante pour détecter les compromis et qu’un acteur de la cybermenace peut être en mesure d’obtenir une persistance au niveau racine malgré l’émission de réinitialisations en usine. »
Cependant, la CISA fournit aux agences fédérales des conseils sur la marche à suivre après avoir découvert des signes de compromission des appliances Ivanti VPN sur leurs réseaux.
Les organisations auteurs encouragent les défenseurs du réseau à (1) supposer que les informations d’identification des comptes d’utilisateur et de service stockées dans les appliances Ivanti VPN affectées sont probablement compromises, (2) rechercher des activités malveillantes sur leurs réseaux à l’aide des méthodes de détection et des indicateurs de compromission (IOC) de cet avis, (3) exécuter les TIC externes Ivanti les plus récentes et (4) appliquer les conseils de correction disponibles fournis par Ivanti à mesure que les mises à jour de version deviennent disponibles. Si une compromission potentielle est détectée, les organisations doivent collecter et analyser les journaux et les artefacts pour détecter toute activité malveillante et appliquer les recommandations de réponse aux incidents contenues dans cet avis. – CISA
CISA: « Considérez le risque important »
Aujourd’hui, en réponse à l’avis de CISA, Ivanti a déclaré que les attaquants distants tentant d’obtenir la persistance racine sur un appareil Ivanti en utilisant la méthode trouvée par CISA perdraient la connexion à l’appliance sécurisée Ivanti Connect.
« Ivanti et nos partenaires de sécurité n’ont connaissance d’aucun cas de persistance réussie des acteurs de la menace suite à la mise en œuvre des mises à jour de sécurité et des réinitialisations d’usine (matérielles)/ nouvelle version (virtuelle) recommandées par Ivanti », a déclaré Ivanti.
Malgré les assurances de l’entreprise, CISA a exhorté aujourd’hui tous les clients Ivanti à « prendre en compte le risque important d’accès et de persistance des adversaires aux passerelles sécurisées Ivanti Connect Secure et Ivanti Policy Secure lorsqu’ils déterminent s’il faut continuer à exploiter ces appareils dans un environnement d’entreprise » [souligné par CISA].
En d’autres termes, CISA avertit qu’il peut toujours ne pas être sûr d’utiliser des appareils Ivanti Connect Secure et Ivanti Policy Secure précédemment compromis, même après le nettoyage et la réinitialisation aux paramètres d’usine.
Le 1er février, en réponse à la « menace substantielle » et au risque accru de failles de sécurité posés par les appliances VPN Ivanti piratées, la CISA a ordonné à toutes les agences fédérales de déconnecter toutes les instances Ivanti Connect Secure et Ivanti Policy Secure de leurs réseaux dans les 48 heures,
Les agences avaient pour mandat d’exporter les configurations, de les réinitialiser aux paramètres d’usine, de les reconstruire à l’aide des versions logicielles corrigées publiées par Ivanti, de réimporter les configurations sauvegardées et de révoquer tous les certificats, clés et mots de passe connectés ou exposés pour pouvoir remettre les appareils isolés en ligne.
Les agences fédérales qui ont trouvé des produits Ivanti compromis sur leurs réseaux ont été invitées à supposer que tous les comptes de domaine liés étaient compromis et à désactiver les appareils joints/enregistrés (dans les environnements cloud) ou à effectuer une double réinitialisation du mot de passe pour tous les comptes et à révoquer les tickers Kerberos et les jetons cloud (dans les configurations hybrides).
Les acteurs des États-Nations ont exploité certaines des vulnérabilités de sécurité mentionnées par la CISA dans l’avis d’aujourd’hui comme des jours zéro avant d’être exploitées à plus grande échelle par un large éventail d’acteurs de la menace pour supprimer plusieurs souches de logiciels malveillants personnalisés.
Un autre zero-day sécurisé Connect suivi sous le numéro CVE-2021-22893 a été utilisé par des groupes de menaces chinois présumés en 2021 pour violer des dizaines d’organisations gouvernementales, de défense et financières aux États-Unis et en Europe.