Ivanti a révélé deux zero-days Connect Secure (ICS) et Policy Secure exploités dans la nature qui peuvent permettre aux attaquants distants d’exécuter des commandes arbitraires sur des passerelles ciblées.
La première faille de sécurité (CVE-2023-46805) est un contournement d’authentification dans le composant Web des passerelles, permettant aux attaquants d’accéder à des ressources restreintes en contournant les contrôles de contrôle, tandis que la seconde (suivie comme CVE-2024-21887) est une vulnérabilité d’injection de commandes qui permet aux administrateurs authentifiés d’exécuter des commandes arbitraires sur des appliances vulnérables en envoyant des requêtes spécialement conçues.
Lors de l’enchaînement des deux jours zéro, signalés par Mandiant et Volexity, les attaquants peuvent exécuter des commandes arbitraires sur toutes les versions prises en charge des produits concernés.
« Si CVE-2024-21887 est utilisé conjointement avec CVE-2023-46805, l’exploitation ne nécessite pas d’authentification et permet à un acteur malveillant de créer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système », a déclaré Ivanti.
« Nous fournissons des mesures d’atténuation maintenant pendant que le correctif est en développement pour donner la priorité au meilleur intérêt de nos clients. Il est essentiel que vous preniez immédiatement des mesures pour vous assurer d’être entièrement protégé. »
La société indique que les correctifs seront disponibles selon un calendrier échelonné, « la première version devant être disponible pour les clients la semaine du 22 janvier et la version finale devant être disponible la semaine du 19 février. »
Jusqu’à ce que des correctifs soient disponibles, les jours zéro peuvent être atténués en important les mesures d’atténuation.relâchez.20240107.1.fichier xml disponible pour les clients via le portail de téléchargement d’Ivanti.
Zéro jour exploité dans les attaques
Ivanti affirme que les deux jours zéro ont déjà été exploités à l’état sauvage dans des attaques ciblant un petit nombre de clients.
La société de renseignement sur les menaces Volexity, qui a repéré les jours zéro exploités dans la nature en décembre, pense que l’attaquant est un acteur de la menace soutenu par l’État chinois.
« Nous avons connaissance de moins de 10 clients touchés par les vulnérabilités. Nous ne sommes pas en mesure de discuter des spécificités de nos clients », a révélé la société.
« »Nous avons vu des preuves que des acteurs de la menace tentaient de manipuler le vérificateur d’intégrité interne (ICT) d’Iv anti. Par prudence, nous recommandons à tous les clients d’exécuter l’ICT externe.
« Sur la base de notre analyse, Ivanti n’a trouvé aucune indication que cette vulnérabilité ait été introduite de manière malveillante dans notre processus de développement de code. Avanti n’a aucune indication qu’il a été compromis. »
Tel que rapporté par Shodan, selon une chaîne de recherche partagée par l’expert en sécurité Kevin Beaumont, plus de 15 000 passerelles sécurisées Connect Secure (ICS) et Policy Secure sont actuellement exposées en ligne.
Beaumont a également averti plus tôt aujourd’hui que les deux jours zéro sont utilisés dans les attaques et permettent le contournement de l’AMF et l’exécution de code.
La semaine dernière, Ivanti a déclaré qu’une vulnérabilité critique d’exécution de code à distance (RCE) (CVE-2023-39336) dans son logiciel de gestion des terminaux (EPM) pourrait être exploitée par des attaquants non authentifiés pour détourner les appareils inscrits ou le serveur principal.
En juillet, des pirates informatiques d’État ont exploré deux autres jours zéro (CVE-2023-35078 et CVE-2023-35081) dans Ivantis Endpoint Manager Mobile (EPMM) pour pirater les réseaux de plusieurs organisations gouvernementales norvégiennes.
Un mois plus tard, des pirates informatiques ont exploité une troisième faille zero-day (CVE-2023-38035) dans le logiciel Sentry d’Ivanti pour contourner l’authentification API sur les appareils vulnérables.
Les produits Ivantis sont utilisés par plus de 40 000 entreprises dans le monde entier pour gérer leurs actifs et systèmes informatiques.
Jordan Doyle
janvier 14, 2024 at 10:20 pmI’ve read several just right stuff here. Certainly price bookmarking for revisiting. I wonder how a lot effort you place to create this kind of great informative website.