Ivanti avertit que des pirates informatiques ont exploité une vulnérabilité d’exécution de code à distance sécurisée Connect identifiée comme CVE-2025-0282 dans des attaques zero-day pour installer des logiciels malveillants sur les appliances.
L’entreprise affirme avoir pris conscience des vulnérabilités après que l’outil Ivanti Integrity Checker (ICT) a détecté une activité malveillante sur les appliances des clients. Ivanti a lancé une enquête et a confirmé que les acteurs de la menace exploitaient activement CVE-2025-0282 en tant que jour zéro.
CVE-2025-0282 est un bogue critique (9.0) de dépassement de tampon basé sur la pile dans Ivanti Connect Secure avant la version 22.7R2.5, Ivanti Policy Secure avant la version 22.7R1.2 et Ivanti Neurons pour les passerelles ZTA avant la version 22.7R2.3 qui permet à un attaquant non authentifié d’exécuter du code à distance sur des appareils.
Bien que la faille affecte les trois produits, Ivanti affirme qu’elle n’a été exploitée que sur les appliances sécurisées Ivanti Connect.
« Nous sommes au courant d’un nombre limité d’appliances sécurisées Ivanti Connect de clients qui ont été exploitées par CVE-2025-0282 au moment de la divulgation », peut-on lire dans un article de blog Ivanti.
« Nous ne sommes pas au courant de l’exploitation de ces CVE dans Ivanti Policy Secure ou Neurons pour les passerelles ZTA. »
Ivanti a publié en urgence des correctifs de sécurité pour Ivanti Connect Secure, qui sont résolus dans la version 22.7R2.5 du micrologiciel.
Cependant, les correctifs pour Ivanti Policy Secure et Ivanti Neurons pour les passerelles ZTA ne seront pas prêts avant le 21 janvier, selon un bulletin de sécurité publié aujourd’hui.
Ivanti Policy Secure: Cette solution n’est pas destinée à être connectée à Internet, ce qui réduit considérablement le risque d’exploitation. Le correctif pour Ivanti Policy Secure est prévu pour le 21 janvier 2025 et sera disponible sur le portail de téléchargement standard. Les clients doivent toujours s’assurer que leur appliance IPS est configurée conformément aux recommandations Ivanti et ne pas l’exposer à Internet. Nous ne sommes pas au courant de l’exploitation de ces CVE dans Ivanti Policy Secure.
Ivanti Neurons pour passerelles ZTA: Les passerelles ZTA Ivanti Neurons ne peuvent pas être exploitées en production. Si une passerelle pour cette solution est générée et laissée non connectée à un contrôleur ZTA, il existe un risque d’exploitation sur la passerelle générée. La publication du correctif est prévue pour le 21 janvier 2025. Nous ne sommes pas au courant de l’exploitation de ces CVE dans les passerelles ZTA.
L’entreprise recommande à tous les administrateurs sécurisés Ivanti Connect d’effectuer des analyses TIC internes et externes.
Si les analyses sont correctes, Ivanti recommande toujours aux administrateurs d’effectuer une réinitialisation d’usine avant la mise à niveau vers Ivanti Connect Secure 22.7R2.5.
Cependant, si les analyses montrent des signes de compromission, Ivanti indique qu’une réinitialisation d’usine devrait supprimer tout logiciel malveillant installé. L’appliance doit ensuite être remise en production à l’aide de la version 22. 7R2. 5
Les mises à jour de sécurité d’aujourd’hui corrigent également une deuxième vulnérabilité identifiée comme CVE-2025-0283, qui, selon Ivanti, n’est actuellement pas exploitée ou chaînée avec CVE-2025-0282. Cette faille permet à un attaquant local authentifié d’augmenter ses privilèges.
Comme Ivanti travaille avec Mandiant et le Microsoft Threat Intelligence Center pour enquêter sur les attaques, nous verrons probablement des rapports sur les logiciels malveillants détectés sous peu.
Breachtrace a contacté Ivanti pour lui poser d’autres questions sur les attaques et mettra à jour cette histoire si nous recevons une réponse.
En octobre, Ivanti a publié des mises à jour de sécurité pour corriger trois jours zéro de l’appliance de services Cloud (CSA) qui ont été activement exploités dans des attaques.