Aujourd’hui, Ivanti a mis en garde ses clients contre une nouvelle vulnérabilité de contournement d’authentification de gravité maximale dans sa solution Cloud Services Appliance (CSA).
La faille de sécurité (identifiée comme CVE-2024-11639 et signalée par l’équipe de recherche avancée de CrowdStrike) permet aux attaquants distants d’obtenir des privilèges administratifs sur des appliances vulnérables exécutant Ivanti CSA 5.0.2 ou une version antérieure sans nécessiter d’authentification ou d’interaction de l’utilisateur en contournant l’authentification à l’aide d’un autre chemin ou canal.
Ivanti conseille aux administrateurs de mettre à niveau les appliances vulnérables vers CSA 5.0.3 en utilisant les informations détaillées disponibles dans ce document de support.
« Nous n’avons connaissance d’aucun client exploité par ces vulnérabilités avant leur divulgation publique. Ces vulnérabilités ont été divulguées via notre programme de divulgation responsable », a déclaré la société mardi. « Actuellement, il n’y a pas d’exploitation publique connue de ces vulnérabilités qui pourraient être utilisées pour fournir une liste d’indicateurs de compromission. »
Aujourd’hui, Ivanti a corrigé d’autres vulnérabilités moyennes, élevées et critiques dans les produits Desktop and Server Management (DSM), Connect Secure et Policy Secure, Sentry et Patch SDK. Cependant, comme indiqué dans un avis de sécurité publié mardi, rien ne prouve que ces vulnérabilités ont été exploitées à l’état sauvage.
CVE-2024-11639 est la sixième vulnérabilité de sécurité de la CSA corrigée ces derniers mois, les cinq précédentes ayant été corrigées:
- Septembre: CVE-2024-8190 (exécution de code à distance)
- Septembre: CVE-2024-8963 (contournement de l’authentification administrateur)
- Octobre: CVE-2024-9379, CVE-2024-9380, CVE-2024-9381 (injection SQL, injection de commandes du système d’exploitation, traversée de chemin)
En septembre, la société a également averti ses clients que les failles CVE-2024-8190 et CVE-2024-8963 étaient déjà ciblées par des attaques.
De plus, il a alerté les administrateurs que les trois failles de sécurité corrigées en octobre étaient enchaînées avec le contournement de l’administrateur CSA CVE-2024-8963 pour exécuter des instructions SQL via injection SQL, contourner les restrictions de sécurité et exécuter du code arbitraire via injection de commandes.
Ce flux de vulnérabilités activement exploitées intervient alors qu’Avanti affirme avoir intensifié ses capacités de test et d’analyse interne et qu’il améliore son processus de divulgation responsable pour corriger plus rapidement les bogues de sécurité.
Plusieurs autres vulnérabilités ont été exploitées en tant que zero-days lors d’attaques généralisées plus tôt cette année dans le cadre de campagnes ciblant les appliances Ivanti VPN et les passerelles ICS, IPS et ZTA.
Avanti fournit des services à plus de 40 000 entreprises qui utilisent ses produits pour gérer leurs systèmes et leurs actifs informatiques.