Aujourd’hui, Ivanti a mis en garde contre deux autres vulnérabilités affectant les passerelles Connect Secure, Policy Secure et ZTA, l’une d’elles étant un bogue zero-day déjà activement exploité.
La faille zero-day (CVE-2024-21893) est une vulnérabilité de falsification de requêtes côté serveur dans le composant SAML des passerelles qui permet aux attaquants de contourner l’authentification et d’accéder à des ressources restreintes sur des appareils vulnérables.
Une deuxième faille (CVE-2024-21888) dans le composant Web des passerelles permet aux acteurs de la menace d’élever les privilèges à ceux d’un administrateur.
« Dans le cadre de notre enquête en cours sur les vulnérabilités signalées le 10 janvier dans Ivanti Connect Secure, Ivanti Policy Secure et les passerelles ZTA, nous avons découvert de nouvelles vulnérabilités. Ces vulnérabilités affectent toutes les versions prises en charge-Version 9.x et 22.x », a déclaré la société aujourd’hui.
« Nous n’avons aucune preuve que des clients soient affectés par CVE-2024-21888 pour le moment. Nous ne connaissons qu’un petit nombre de clients qui ont été touchés par CVE-2024-21893 pour le moment. »
« Il est essentiel que vous preniez immédiatement des mesures pour vous assurer d’être pleinement protégé », a averti Ivanti.
Ivanti a publié des correctifs de sécurité pour corriger les failles de certaines versions sécurisées ZTA et Connect affectées, et il fournit des instructions d’atténuation pour les appareils en attente d’un correctif.
Correctifs pour deux jours zéro plus activement exploités
La société a également publié aujourd’hui des correctifs pour deux autres zero-days divulgués début janvier— un contournement d’authentification (CVE-2023-46805) et une injection de commande (CVE-2024-21887)—enchaînés dans des attaques généralisées pour déployer des logiciels malveillants sur des CI vulnérables, IPS, et passerelles ZTA depuis le 11 janvier.
Ivanti a également publié des mesures d’atténuation pour bloquer les tentatives d’attaque et des instructions de récupération conçues pour aider à restaurer les appareils compromis et à les remettre en ligne.
La plateforme de surveillance des menaces Shadowserver suit actuellement plus de 24 700 passerelles VPN ICS exposées à Internet, dont plus de 7 200 aux États-Unis (Shodan voit également plus de 22 000 VPN Ivanti ICS exposés en ligne).
Shadowserver suit également quotidiennement les instances Ivanti VPN compromises dans le monde entier, avec plus de 460 appareils compromis découverts rien que le 30 janvier.
CISA a également publié la première directive d’urgence de 2024 (ED 24-01), ordonnant aux agences fédérales d’atténuer immédiatement les failles Ivanti zero-day CVE-2023-46805 et CVE-2024-21887 en réponse à une exploitation massive par de multiples acteurs de la menace.
Lorsqu’ils sont enchaînés, les deux jours zéro permettent aux attaquants de se déplacer latéralement dans les réseaux des victimes, de voler des données et d’établir un accès persistant en déployant des portes dérobées.
La liste des victimes découvertes jusqu’à présent comprend des organisations gouvernementales et militaires du monde entier, des entreprises nationales de télécommunications et des entrepreneurs de la défense, ainsi que des organisations bancaires, financières et comptables et des entreprises aérospatiales, aéronautiques et technologiques.
Leur taille varie considérablement, allant des petites entreprises à certains des plus grands conglomérats multinationaux, en passant par plusieurs sociétés Fortune 500 de divers secteurs industriels.
Mandiant a découvert cinq souches de logiciels malveillants personnalisées déployées dans ces attaques étendues qui aident les auteurs de menaces à voler des informations d’identification, à déployer des webshells et à supprimer des charges utiles malveillantes supplémentaires.
Volexity et GreyNoise ont également observé des attaquants déployer des mineurs de crypto-monnaie XMRig et des charges utiles de logiciels malveillants basés sur Rust sur les systèmes compromis de certaines victimes.