Ivanti a averti les clients de corriger immédiatement une vulnérabilité de sentinelle autonome de gravité critique signalée par les chercheurs du Centre de cybersécurité de l’OTAN.
Sentry autonome est déployé en tant que serveur Proxy de centre de distribution de clés Kerberos (KKDCP) d’une organisation ou en tant que contrôleur d’accès pour les serveurs Exchange et Sharepoint activés par ActiveSync.
Répertoriée sous le numéro CVE-2023-41724, la faille de sécurité affecte toutes les versions prises en charge et permet aux mauvais acteurs non authentifiés au sein du même réseau physique ou logique d’exécuter des commandes arbitraires dans des attaques de faible complexité.
Ivanti a également corrigé une deuxième vulnérabilité critique (CVE-2023-46808) dans sa solution de gestion des services informatiques Neurons for ITSM qui permet aux acteurs de la menace distants ayant accès à un compte avec de faibles privilèges d’exécuter des commandes « dans le contexte de l’utilisateur de l’application Web. »
Bien que ce correctif ait déjà été appliqué à tous les Ivanti Neurons pour les environnements Cloud ITSM, les déploiements sur site sont toujours vulnérables aux attaques potentielles.
La société a ajouté qu’elle n’avait trouvé aucune preuve que ces deux failles de sécurité étaient exploitées à l’état sauvage.
« Un correctif est maintenant disponible via le portail de téléchargement standard. Nous encourageons vivement les clients à agir immédiatement pour s’assurer qu’ils sont entièrement protégés », a déclaré Ivanti.
« Nous n’avons connaissance d’aucun client exploité par cette vulnérabilité au moment de la divulgation. »
Les appareils Ivanti attaqués
Depuis le début de l’année, les acteurs étatiques ont exploité plusieurs vulnérabilités Ivanti en tant que zero-days (CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 et CVE-2024-21893) avant qu’un large éventail d’acteurs de la menace ne commence à les exploiter à plus grande échelle pour déployer diverses souches de logiciels malveillants personnalisées.
Le mois dernier, plus de 13 000 points de terminaison Ivanti Connect Secure et Policy Secure étaient toujours vulnérables aux attaques ciblant les mêmes bogues de sécurité.
Un mois plus tôt, la CISA a publié la première directive d’urgence de cette année ordonnant aux agences fédérales de sécuriser immédiatement leurs systèmes Ivanti Connect Secure et Policy Secure contre les failles zero-day ciblées par des attaques généralisées.
L’agence américaine de cybersécurité a modifié la directive d’urgence environ deux semaines plus tard pour ordonner aux agences de déconnecter toutes les appliances Ivanti VPN vulnérables dès que possible et de les reconstruire avec un logiciel corrigé avant de les remettre en ligne.
Plusieurs groupes de menaces chinois présumés ont utilisé un autre zero-day sécurisé Connect suivi sous le numéro CVE-2021-22893 il y a trois ans pour violer des dizaines d’organisations gouvernementales, de défense et financières à travers l’Europe et les États-Unis.