La CISA a publié la première directive d’urgence de cette année ordonnant aux agences de l’Exécutif civil fédéral (FCEB) d’atténuer immédiatement deux failles Ivanti Connect Secure et Ivanti Policy Secure zero-day en réponse à une exploitation généralisée et active par de multiples acteurs de la menace.

Il s’agit d’une évolution attendue, étant donné que les appliances Ivanti vulnérables sont désormais la cible d’attaques étendues enchaînant les vulnérabilités de contournement d’authentification CVE-2023-46805 et d’injection de commandes CVE-2024-21887 depuis décembre, et que le fournisseur n’a pas encore publié de correctifs de sécurité.

Lorsqu’ils sont enchaînés, les deux zero-days Ivanti permettent aux attaquants de se déplacer latéralement au sein du réseau d’une cible, d’exfiltrer des données et d’établir un accès persistant au système en déployant des portes dérobées.

« La CISA a déterminé que ces conditions posaient un risque inacceptable pour les agences de l’Exécutif civil fédéral (FCEB) et nécessitaient une action d’urgence », a déclaré vendredi l’agence de cybersécurité.

« Cette détermination est basée sur l’exploitation généralisée des vulnérabilités par de multiples acteurs de la menace, la prévalence des produits affectés dans l’entreprise fédérale, le potentiel élevé de compromission des systèmes d’information de l’agence, l’impact d’une compromission réussie et la complexité des mesures d’atténuation proposées. »

ED 24-01 mesures requises
Conformément aux instructions de la directive d’urgence ED 24-01, les agences fédérales doivent désormais mettre en œuvre rapidement les mesures d’atténuation divulguées publiquement par Ivanti pour bloquer les tentatives d’attaque.

Les agences sont également tenues d’utiliser l’Outil de vérification d’intégrité externe d’Ivanti et:

  1. Signaler immédiatement les indications de compromis à la CHINE par [email protected]
  2. Supprimez les produits compromis des réseaux d’agences. Lancez l’analyse des incidents, préservez les données des appareils compromis grâce à la création d’images médico-légales du disque dur et recherchez des indications de compromission supplémentaire.
  3. Remettez en service un produit compromis, réinitialisez l’appareil avec le logiciel de solution d’inventaire affecté aux paramètres d’usine par défaut et supprimez le vecteur d’attaque en appliquant les mesures d’atténuation d’Ivanti.

Pour restaurer complètement les appliances impactées et les remettre en service, elles doivent suivre les instructions de récupération d’Ivanti, puis:

  • Révoquer et réémettre tous les certificats stockés.
  • Réinitialisez le mot de passe d’activation de l’administrateur.
  • Réinitialisez les clés API stockées.
  • Réinitialisez le mot de passe de tout utilisateur local défini sur la passerelle, y compris les comptes de service utilisés pour la ou les configurations de serveur d’authentification.
  • Appliquez des mises à jour qui corrigent les deux vulnérabilités référencées dans cette directive aux produits affectés dès qu’ils sont disponibles et au plus tard 48 heures après leur publication par Ivantis.
  • Une semaine après la publication de cette Directive, signalez à CISA (à l’aide du modèle fourni) un inventaire complet de toutes les instances des produits Ivanti Connect Secure et Ivanti Policy Secure sur les réseaux de l’agence, y compris des détails sur les actions entreprises et les résultats.

Le service de surveillance des menaces Shadowserver suit actuellement plus de 16 200 appliances VPN ICS exposées en ligne, dont plus de 4 700 aux États-Unis (Shodan voit également près de 17 000 appareils Ivanti ICS exposés à Internet).

Shadowserver surveille également le nombre d’instances VPN sécurisées Ivanti Connect compromises dans le monde entier et les tentatives d’exploitation, avec plus de 420 appareils piratés repérés rien que le 18 janvier.

Appareils Avanti compromis

Activement exploité pour supprimer les crypto-mineurs, les logiciels malveillants
La société de renseignements sur les menaces Volexity indique que l’un des attaquants (un groupe de menaces présumé soutenu par l’État chinois suivi sous les noms UTA0178 et UNC5221) a déjà backdooré plus de 2 100 appliances Ivanti à l’aide d’une variante webshell GIFTEDVISITOR.

En enquêtant sur ces attaques, Mandiant a découvert cinq souches de logiciels malveillants personnalisées déployées sur les systèmes des clients piratés dans le but final de voler des informations d’identification, de déployer des webshells et d’autres charges utiles malveillantes.

L’auteur de la menace a récolté et volé des données de compte et de session et plus d’informations sur des réseaux compromis.

Les victimes découvertes jusqu’à présent comprennent des départements gouvernementaux et militaires du monde entier, des entreprises nationales de télécommunications, des entrepreneurs de la défense, des entreprises technologiques, des organisations bancaires, financières et comptables, des sociétés de conseil mondiales et des sociétés aérospatiales, aéronautiques et d’ingénierie.

Leur taille varie considérablement et va des petites entreprises à certaines des plus grandes organisations du monde entier, y compris plusieurs sociétés Fortune 500 de divers secteurs industriels.

Des attaquants ont également été vus par Volexity et GreyNoise déployant des mineurs de crypto-monnaie XMRig et des charges utiles de logiciels malveillants basés sur Rust toujours en attente d’analyse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *