La société américaine de logiciels informatiques Ivanti a publié des mises à jour de sécurité pour corriger trois nouvelles appliances de services Cloud (CSA) zero-days étiquetées comme activement exploitées dans des attaques.
Comme Ivanti l’a révélé mardi, les attaquants enchaînent les trois failles de sécurité avec une autre CSA zero-day corrigée en septembre.
L’exploitation réussie de ces vulnérabilités peut permettre à des attaquants distants d’exécuter des instructions SQL via injection SQL, d’exécuter du code arbitraire via injection de commandes et de contourner les restrictions de sécurité en abusant d’une faiblesse de traversée de chemin sur les passerelles CSA vulnérables (utilisées pour fournir aux utilisateurs d’entreprise un accès sécurisé aux ressources réseau internes).
« Nous sommes conscients qu’un nombre limité de clients exécutant CSA 4.6 patch 518 et versions antérieures ont été exploités lorsque CVE-2024-9379, CVE-2024-9380 ou CVE-2024-9381 sont chaînés avec CVE-2024-8963 », a averti Ivanti.
La société affirme que les failles ont un impact sur CSA 5.0.1 et les versions antérieures et recommande aux clients qui soupçonnent que leurs systèmes ont été compromis lors de ces attaques de reconstruire leurs appliances CSA avec la version 5.0.2.
Pour détecter les tentatives d’exploitation, les administrateurs doivent examiner les alertes de endpoint detection and response (EDR) ou d’un autre logiciel de sécurité. Ils peuvent également observer des signes de compromission en recherchant les utilisateurs administrateurs nouveaux ou modifiés.
Étant donné que CSA 4.6 est un produit en fin de vie qui a reçu le dernier correctif de sécurité en septembre, il est conseillé aux clients exécutant toujours cette version de passer à CSA 5.0.2 dès que possible.
« De plus, il est important que les clients sachent que nous n’avons observé aucune exploitation de ces vulnérabilités dans aucune version de CSA 5.0 », a ajouté la société.
Plusieurs jours zéro Ivanti sous exploitation active
Le mois dernier, Ivanti a averti que des acteurs de la menace enchaînaient une vulnérabilité de contournement de l’administrateur (CVE-2024-8963) avec un bogue d’injection de commandes (CVE-2024-8190) pour contourner l’authentification de l’administrateur et exécuter des commandes arbitraires sur des appliances CSA non corrigées.
CISA a ajouté les deux failles Ivanti à son catalogue de vulnérabilités exploitées connues et a ordonné aux agences fédérales de sécuriser les systèmes vulnérables d’ici le 10 octobre.
Ce flux de divulgations zero-day activement exploitées intervient alors que l’entreprise affirme avoir intensifié ses capacités de test et d’analyse interne et travaille à l’amélioration de son processus de divulgation responsable pour résoudre plus rapidement les problèmes de sécurité.
« Ivanti investit massivement dans la sécurité dès la conception dans l’ensemble de notre organisation et a signé l’engagement CISA Secure by Design en mai », a déclaré Ivanti aujourd’hui.
Plusieurs failles ont été exploitées en tant que zero-days lors d’attaques généralisées au cours des derniers mois, ciblant les appliances Ivanti VPN et les passerelles ICS, IPS et ZTA.
Ivanti affirme compter plus de 7 000 partenaires et plus de 40 000 entreprises utilisent ses produits pour gérer leurs systèmes et leurs actifs informatiques dans le monde entier.