Ivanti a confirmé vendredi qu’une vulnérabilité de gravité élevée dans sa solution Cloud Services Appliance (CSA) est désormais activement exploitée dans des attaques.
« Au moment de la divulgation le 10 septembre, nous n’avions connaissance d’aucun client exploité par cette vulnérabilité. Au moment de la mise à jour du 13 septembre, l’exploitation d’un nombre limité de clients a été confirmée suite à la divulgation publique », a déclaré Ivanti dans une mise à jour ajoutée à son avis d’août.
« Les configurations CSA à double hôte avec ETH-0 comme réseau interne, comme recommandé par Ivanti, présentent un risque d’exploitation considérablement réduit. »
Ivanti conseille aux administrateurs de vérifier les paramètres de configuration et les privilèges d’accès de tout utilisateur administratif nouveau ou modifié afin de détecter les tentatives d’exploitation. Bien que pas toujours cohérents, certains peuvent être enregistrés dans les journaux du courtier sur le système local. Il est également conseillé d’examiner toutes les alertes d’EDR ou d’autres logiciels de sécurité.
La faille de sécurité (CVE-2024-8190) permet aux attaquants authentifiés à distance disposant de privilèges administratifs d’obtenir l’exécution de code à distance sur des appliances vulnérables exécutant Ivanti CSA 4.6 via l’injection de commandes.
Ivanti conseille aux clients de passer de CSA 4.6.x (qui a atteint le statut de fin de vie) à CSA 5.0 (qui est toujours sous assistance).
« Les clients CSA 4.6 Patch 518 peuvent également effectuer une mise à jour vers le patch 519. Mais comme ce produit est entré en fin de vie, la voie privilégiée est de passer à CSA 5.0. Les clients déjà sous CSA 5.0 n’ont pas besoin de prendre d’autres mesures », a ajouté la société.
Ivanti CSA est un produit de sécurité qui agit comme une passerelle pour fournir aux utilisateurs externes un accès sécurisé aux ressources internes de l’entreprise.
Les agences fédérales ont reçu l’ordre de patcher d’ici le 4 octobre
Vendredi, CISA a également ajouté la vulnérabilité Ivanti CSA CVE-2024-8190 à son catalogue de vulnérabilités exploitées connues. Conformément à la Directive opérationnelle contraignante (DBO) 22-01, les agences de l’Exécutif civil fédéral (FCEB) doivent sécuriser les appareils vulnérables dans les trois semaines au plus tard le 4 octobre.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.
Plus tôt cette semaine, mardi, Ivanti a corrigé une faille de gravité maximale dans son logiciel de gestion des terminaux (EPM) qui permet aux attaquants non authentifiés d’obtenir l’exécution de code à distance sur le serveur principal.
Le même jour, il a également corrigé près de deux douzaines d’autres failles de gravité élevée et critique dans Ivanti EPM, Workspace Control (IWC) et Cloud Service Appliance (CSA).
Ivanti affirme avoir intensifié ses capacités d’analyse et de test internes au cours des derniers mois tout en travaillant à l’amélioration de son processus de divulgation responsable pour résoudre plus rapidement les problèmes de sécurité potentiels.
« Cela a provoqué un pic de découverte et de divulgation, et nous sommes d’accord avec la déclaration du CISAs selon laquelle la découverte et la divulgation responsables des CVE sont « un signe d’une communauté saine d’analyse et de test de code », a déclaré Ivanti.
Ivanti compte plus de 7 000 partenaires dans le monde et ses produits sont utilisés par plus de 40 000 entreprises pour gérer leurs systèmes et leurs actifs informatiques.