Ivanti a averti que les auteurs de menaces exploitaient une autre faille de sécurité de l’appliance de services Cloud (CSA) dans des attaques ciblant un nombre limité de clients.
Répertoriée comme CVE-2024-8963, cette vulnérabilité de contournement de l’administrateur est causée par une faiblesse de traversée de chemin. Une exploitation réussie permet à des attaquants distants non authentifiés d’accéder à des fonctionnalités restreintes sur des systèmes CSA vulnérables (utilisés comme passerelles pour fournir aux utilisateurs de l’entreprise un accès sécurisé aux ressources réseau internes).
Les attaquants utilisent des exploits qui enchaînent CVE-2024-8963 avec CVE-2024-8190 — un bogue d’injection de commandes CSA de gravité élevée a été corrigé en dernier et marqué comme activement exploité vendredi — pour contourner l’authentification de l’administrateur et exécuter des commandes arbitraires sur des appliances non corrigées.
« La vulnérabilité a été découverte alors que nous enquêtions sur l’exploitation divulguée par Ivanti le 13 septembre », a déclaré Ivanti aujourd’hui.
« Alors que nous évaluions la cause première de cette vulnérabilité, nous avons découvert que le problème avait été accidentellement résolu avec certaines des suppressions de fonctionnalités incluses dans le correctif 519. »
Ivanti conseille aux administrateurs d’examiner les alertes de détection et de réponse des points de terminaison (EDR) ou d’autres logiciels de sécurité et paramètres de configuration et privilèges d’accès pour les utilisateurs administratifs nouveaux ou modifiés afin de détecter les tentatives d’exploitation.
Ils devraient également garantir des configurations CSA à double logement avec eth0 en tant que réseau interne pour réduire considérablement le risque d’exploitation.
« Si vous soupçonnez une compromission, la recommandation d’Ivanti est de reconstruire votre CSA avec le correctif 519 (publié le 09/10/2024). Nous recommandons fortement de passer à CSA 5.0, dans la mesure du possible », a en outre averti la société jeudi.
« Ivanti CSA 4.6 est en fin de vie et ne reçoit plus de correctifs pour le système d’exploitation ou les bibliothèques tierces. De plus, avec le statut de fin de vie, le correctif publié le 10 septembre est le dernier correctif qu’Ivanti rétroportera vers cette version. »
Les agences fédérales doivent patcher dès que possible
CISA a également ajouté les failles Ivanti CSA CVE-2024-8190 et CVE-2024-8963 à son catalogue de vulnérabilités exploitées connues.
Les agences de l’Exécutif civil fédéral (FCEB) doivent maintenant réparer les appareils vulnérables dans les trois semaines d’ici le 4 octobre et le 10 octobre, respectivement, comme l’exige la Directive opérationnelle contraignante (DBO) 22-01.
La société a déclaré la semaine dernière qu’elle avait intensifié ses capacités d’analyse et de test internes et qu’elle améliorait également son processus de divulgation responsable pour résoudre plus rapidement les problèmes de sécurité potentiels.
Au cours des derniers mois, plusieurs failles Ivanti ont été exploitées comme des jours zéro dans des attaques généralisées ciblant les appliances VPN et les passerelles ICS, IPS et ZTA de l’entreprise.
« Cela a provoqué un pic de découverte et de divulgation, et nous sommes d’accord avec la déclaration du CISAs selon laquelle la découverte et la divulgation responsables des CVE sont « un signe d’une communauté saine d’analyse et de test de code », a admis Ivanti.
En mai, la CISA et le FBI ont exhorté les entreprises technologiques à revoir leurs produits logiciels avant de les expédier afin d’éliminer les vulnérabilités de traversée de chemin.
Ivanti affirme compter plus de 7 000 partenaires dans le monde et plus de 40 000 entreprises utilisent ses produits pour gérer leurs systèmes et leurs actifs informatiques.