Aujourd’hui, Ivanti a mis en garde contre une nouvelle vulnérabilité de contournement d’authentification affectant les passerelles Connect Secure, Policy Secure et ZTA, exhortant les administrateurs à sécuriser immédiatement leurs appliances.

La faille (CVE-2024-22024) est due à une faiblesse XXE (entités externes XML) dans le composant SAML des passerelles qui permet aux attaquants distants d’accéder à des ressources restreintes sur des appliances non corrigées lors d’attaques de faible complexité sans nécessiter d’interaction ou d’authentification de l’utilisateur.

« Nous n’avons aucune preuve que des clients soient exploités par CVE-2024-22024. Cependant, il est essentiel que vous preniez immédiatement des mesures pour vous assurer d’être entièrement protégé », a déclaré Ivanti.

« Pour les utilisateurs d’autres versions prises en charge, l’atténuation publiée le 31 janvier bloque avec succès les points de terminaison vulnérables jusqu’à ce que les correctifs restants soient publiés », a ajouté la société dans un avis distinct.

La plateforme de surveillance des menaces Shadowserver suit actuellement plus de 20 000 passerelles VPN ICS exposées en ligne, dont plus de 6 000 aux États-Unis (Shodan suit actuellement plus de 26 000 VPN Ivanti ICS exposés à Internet).

Shadowserver surveille également quotidiennement les instances VPN sécurisées Ivanti Connect compromises dans le monde entier, avec près de 250 appareils compromis découverts le mercredi 7 février.

Dispositifs anti-ICS Iv compromis quotidiennement

Les appareils Ivanti soumis à un ciblage intensif
Les appliances VPN Ivanti ont été ciblées par des attaques enchaînant le contournement d’authentification CVE-2023-46805 et les failles d’injection de commandes CVE-2024-21887 en jours zéro depuis décembre 2023.

La société a mis en garde contre une troisième vulnérabilité zero-day activement exploitée (une vulnérabilité de falsification de requêtes côté serveur désormais répertoriée sous le nom de CVE-2024-21893) qui est désormais également exploitée en masse par plusieurs acteurs de la menace, permettant aux attaquants de contourner l’authentification sur des passerelles ICS, IPS et ZTA non corrigées.

Des correctifs de sécurité pour les versions de produits affectées par les trois failles ont été publiés le 31 janvier. Ivanti fournit également des instructions d’atténuation pour les appareils qui ne peuvent pas être sécurisés immédiatement contre les attaques en cours ou les versions logicielles en cours d’exécution qui attendent toujours un correctif.

Ivanti a exhorté les clients à réinitialiser en usine toutes les appliances vulnérables avant d’appliquer des correctifs pour bloquer les tentatives des attaquants d’obtenir de la persistance entre les mises à niveau logicielles.

De plus, CISA a ordonné le 1er février aux agences fédérales américaines de déconnecter toutes les appliances Ivanti VPN vulnérables sur leurs réseaux dans les 48 heures en réponse au ciblage étendu de plusieurs acteurs de la menace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *