La société de logiciels de sécurité informatique Avanti a publié des correctifs pour corriger plusieurs vulnérabilités de sécurité affectant ses passerelles Connect Secure et Policy Secure.

Les attaquants non authentifiés peuvent exploiter l’un d’entre eux, une faille de gravité élevée identifiée comme CVE-2024-21894, pour obtenir l’exécution de code à distance et déclencher des états de déni de service sur des appliances non corrigées dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.

La vulnérabilité est causée par une faiblesse de débordement de tas dans le composant IPSec de toutes les versions de passerelle prises en charge.

Alors qu’Ivanti a déclaré que les risques d’exécution de code à distance sont limités à « certaines conditions », la société n’a pas fourni de détails sur les configurations vulnérables.

«  »Nous ne sommes au courant d’aucun client exploité par ces vulnérabilités au moment de la divulgation », a ajouté Iv anti.

Aujourd’hui, la société a également corrigé trois autres failles de sécurité, affectant les mêmes produits et exploitables par des acteurs de la menace non authentifiés pour les attaques DoS:

  • CVE-2024-22052: Une vulnérabilité de déréférencement de pointeur nul dans le composant IPSec
  • CVE-2024 – 22053: Une vulnérabilité de débordement de tas dans le composant IPSec
  • CVE-2024-22023: Une extension d’entité XML ou une vulnérabilité XEE dans un composant SAML

Avanti fournit des instructions détaillées dans cet article de la base de connaissances sur l’accès et l’application des correctifs de sécurité actuels.

Shodan, un moteur de recherche utilisé pour découvrir les services et appareils exposés à Internet, suit actuellement plus de 29 000 passerelles VPN sécurisées Ivanti Connect exposées en ligne, tandis que la plate-forme de surveillance des menaces Shadowserver en voit plus de 18 000.

Appareils IV anti-CI exposés à Internet

Des acteurs étatiques ont exploité de multiples vulnérabilités dans les logiciels Ivanti cette année, et des milliers de points de terminaison Ivanti Connect Secure et Policy Secure sont toujours menacés.

Ces vulnérabilités de sécurité (CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 et CVE-2024-21893) ont été utilisées en zéro jour avant que d’autres attaquants ne les exploitent dans des attaques généralisées pour propager des logiciels malveillants personnalisés.

En réponse, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a émis une directive d’urgence aux agences fédérales leur ordonnant de sécuriser leurs systèmes Ivanti contre les attaques utilisant les failles zero-day.

La directive a ensuite été modifiée pour obliger les agences à déconnecter les appliances Ivanti VPN vulnérables et à les reconstruire avec un logiciel corrigé avant de les remettre en ligne.

Il y a trois ans, des groupes de menaces chinois présumés ont exploité un autre zero-day sécurisé Connect (CVE-2021-22893) pour violer des dizaines d’organisations gouvernementales, de défense et financières aux États-Unis et en Europe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *