Ivanti a averti les administrateurs d’arrêter de pousser de nouvelles configurations d’appareils vers les appliances après avoir appliqué des mesures d’atténuation, car cela les rendrait vulnérables aux attaques en cours exploitant deux vulnérabilités zero-day.
Bien que la société n’ait pas fourni de détails supplémentaires, elle a déclaré que cela était dû à une condition de concurrence connue lors de la poussée des configurations qui provoque l’arrêt d’un service Web et l’arrêt de l’atténuation appliquée.
« Les clients doivent arrêter de pousser les configurations vers les appliances avec le XML en place, et ne pas reprendre la poussée des configurations jusqu’à ce que l’appliance soit corrigée », a déclaré Ivanti dans une nouvelle mise à jour publiée samedi.
« Lorsque la configuration est transmise à l’appliance, elle empêche certains services Web clés de fonctionner et empêche l’atténuation de fonctionner. Cela ne s’applique qu’aux clients qui poussent les configurations vers les appliances, y compris les poussées de configuration via Pulse One ou nSA. Cela peut se produire indépendamment d’une poussée de configuration complète ou partielle. »
La société Ivanti n’a pas encore indiqué si la réapplication du XML des atténuations entraîne également l’arrêt des atténuations, bien que cela semble probable étant donné que la condition de concurrence se produit chaque fois que de nouvelles configurations sont poussées vers une appliance.
L’avertissement intervient après que la CISA a publié la première directive d’urgence de 2024 ordonnant aux agences américaines d’appliquer immédiatement des mesures d’atténuation pour deux failles Ivanti Connect Secure et Policy Secure zero-day exploitées lors d’attaques généralisées par plusieurs acteurs de la menace.
Les appliances Ivanti ICS et IPS ont été la cible d’attaques à grande échelle enchaînant le contournement d’authentification CVE-2023-46805 et les bogues d’injection de commandes CVE-2024-21887 depuis au moins décembre.
Lorsqu’ils sont enchaînés, les deux jours zéro permettent aux attaquants de se déplacer latéralement au sein des réseaux compromis, de collecter et d’exfiltrer des données, et d’établir un accès persistant au système aux appareils violés en déployant des portes dérobées.
Bien que l’entreprise n’ait pas encore publié de correctifs de sécurité, elle a publié des mesures d’atténuation qui devraient bloquer les tentatives d’attaque et des instructions de récupération conçues pour aider les administrateurs à restaurer les appliances affectées et à les remettre en service.
Des milliers d’appareils exposés en ligne, des centaines déjà piratés
La plateforme de surveillance des menaces Shadowserver suit actuellement plus de 21 400 appliances VPN ICS exposées à Internet, dont plus de 6 300 aux États-Unis (Shodan voit également plus de 18 500 appareils Ivanti ICS exposés en ligne).
Shadowserver surveille également le nombre d’instances VPN sécurisées Ivanti Connect compromises quotidiennement dans le monde entier, avec plus de 700 appliances compromises découvertes rien que le 21 janvier.
La société de renseignements sur les menaces Volexity a déclaré que l’un des attaquants exploitant activement les deux jours zéro-un groupe de menaces présumé soutenu par l’État chinois suivi sous le nom UTA0178, également surveillé par Mandiant sous le nom UNC5221—a déjà backdoor plus de 2 100 appliances Ivanti à l’aide d’une variante webshell GIFTEDVISITOR.
Les attaquants ont également déployé des mineurs de crypto-monnaie XMRig et des charges utiles de logiciels malveillants basés sur Rust sur des appareils compromis, selon Volexity et GreyNoise.
Mandiant a également découvert cinq souches de logiciels malveillants personnalisées déployées sur les systèmes des clients piratés pour voler des informations d’identification, supprimer des charges utiles malveillantes supplémentaires et déployer des webshells.
Des attaquants ont collecté et volé des données de compte et de session sur les réseaux compromis de nombreuses victimes, notamment des entités gouvernementales et militaires du monde entier, des sociétés nationales de télécommunications, des entrepreneurs de la défense, des sociétés technologiques, des organisations bancaires, financières et comptables, ainsi que des sociétés aérospatiales, aéronautiques et d’ingénierie.
Leur taille varie également considérablement, des petites entreprises à certaines des plus grandes organisations du monde entier, y compris plusieurs sociétés Fortune 500 dans un large éventail de secteurs industriels.