CISA a ordonné aux agences fédérales américaines de déconnecter toutes les appliances VPN sécurisées Ivanti Connect et Policy Secure vulnérables à de multiples bogues activement exploités avant samedi.
Cette action requise fait partie d’une directive supplémentaire à la première directive d’urgence de cette année (ED 24-01) publiée la semaine dernière qui oblige les agences de l’Exécutif civil fédéral (FCEB) à sécuriser d’urgence tous les périphériques ICS et IPS de leur réseau contre deux failles zero-day en réponse à une exploitation extensive dans la nature par de multiples acteurs de la menace.
Les appliances Ivanti sont actuellement la cible d’attaques enchaînant le contournement d’authentification CVE-2023-46805 et les failles de sécurité d’injection de commandes CVE-2024-21887 depuis décembre en tant que zero-days.
La société a également mis en garde contre une troisième vulnérabilité zero-day activement exploitée (une vulnérabilité de falsification de requêtes côté serveur identifiée comme CVE-2024-21893), permettant aux acteurs de la menace de contourner l’authentification sur les passerelles ICS, IPS et ZTA vulnérables.
Mercredi, Ivanti a publié des correctifs de sécurité pour certaines versions logicielles affectées par les trois failles, et il fournit également des instructions d’atténuation pour les appareils qui attendent toujours un correctif ou qui ne peuvent pas être sécurisés immédiatement contre les attaques en cours.
Hier, Ivanti a exhorté les clients à réinitialiser les appliances vulnérables aux paramètres d’usine avant d’appliquer des correctifs pour contrecarrer les tentatives des attaquants de persister sur leur réseau entre les mises à niveau logicielles.
Shodan voit actuellement plus de 22 000 VPN Ivanti ICS exposés en ligne, tandis que la plateforme de surveillance des menaces Shadowserver en suit plus de 21 400.
Shadowserver surveille également quotidiennement le nombre d’instances Ivanti VPN compromises dans le monde entier, avec près de 390 appareils piratés découverts le 31 janvier.
CISA: Déconnectez tous les VPN Ivanti d’ici samedi
En réponse à la « menace substantielle » et au risque important de failles de sécurité posés par les appliances Ivanti VPN compromises, la CISA demande désormais à toutes les agences fédérales de « déconnecter toutes les instances des produits Ivanti Connect Secure et Ivanti Policy Secure Solution des réseaux des agences », « dès que possible » mais au plus tard à 23h59 le vendredi 2 février.
Une fois les appareils retirés du réseau, les agences doivent également continuer à rechercher des signes de compromission sur les systèmes liés ou récemment connectés aux appareils Ivanti déconnectés.
De plus, ils doivent continuer à surveiller les services d’authentification ou de gestion des identités susceptibles d’être exposés, à isoler les systèmes d’entreprise et à auditer les comptes d’accès de niveau privilège.
Pour remettre les appliances Ivanti en ligne, les agences doivent exporter leur configuration, les réinitialiser aux paramètres d’usine, les reconstruire à l’aide de versions logicielles corrigées, réimporter les configurations sauvegardées et révoquer tous les certificats, clés et mots de passe connectés ou exposés.
À l’étape suivante, les agences fédérales qui ont impacté les produits Ivanti sur leurs réseaux doivent également supposer que tous les comptes de domaine liés ont été compromis et désactiver les appareils joints/enregistrés (dans les environnements cloud) ou effectuer une double réinitialisation du mot de passe pour tous les comptes et révoquer les tickers Kerberos et les jetons cloud (dans les configurations hybrides).
Après chaque étape de récupération, les agences doivent signaler leur statut pour toutes les actions requises à la CISA à l’aide d’un modèle de CyberScope fourni par l’agence de cybersécurité. Ils devront également faire le point sur leurs progrès à la demande de CISA ou lorsque toutes les actions seront terminées.
« Cette Instruction supplémentaire reste en vigueur jusqu’à ce que la CISA détermine que toutes les agences exploitant le logiciel affecté ont effectué toutes les actions requises dans cette Direction ou que la Direction est résiliée par une autre action appropriée », a déclaré la CISA.