Environ 16 500 passerelles sécurisées et Poly sécurisées Ivanti Connect exposées sur Internet sont probablement vulnérables à une faille d’exécution de code à distance (RCE) corrigée par le fournisseur plus tôt cette semaine.
La faille est suivie sous le numéro CVE-2024-21894 et constitue un débordement de tas de gravité élevée dans le composant IPSec d’Ivanti Connect Secure 9.x et 22.x, permettant potentiellement aux utilisateurs non authentifiés de provoquer un déni de service (DoS) ou d’obtenir un RCE en envoyant des requêtes spécialement conçues.
Lors de la divulgation, le 3 avril 2024, le moteur de recherche Internet Shodan a montré 29 000 instances exposées à Internet, tandis que le service de surveillance des menaces Shadowserver a signalé en avoir vu environ 18 000.
À l’époque, Ivanti a déclaré qu’il n’avait vu aucun signe d’exploitation active chez aucun de ses clients, mais a exhorté les administrateurs système à appliquer les mises à jour dès que possible.
Deux jours plus tard, Shadowserver a ajouté CVE-2024-21894 à ses capacités d’analyse, signalant qu’environ 16 500 instances sont vulnérables à la faille RCE.
La plupart de ces cas (4 700) se trouvent aux États-Unis, suivis du Japon (2 000), du Royaume-Uni (1 000), de l’Allemagne (900), de la France (900), de la Chine (500), des Pays-Bas (500), de l’Espagne (500), le Canada (330), l’Inde (330) et la Suède (320) suivent également avec un niveau d’exposition significatif.
Les vulnérabilités à haut risque dans les produits Ivanti constituent souvent un point de violation pour les organisations du monde entier.
Plus tôt cette année, il a été révélé que des acteurs de la menace parrainés par un État exploitaient plusieurs failles dans les produits Ivanti, à savoir CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 et CVE-2024-21893, alors qu’elles étaient à zéro jour, ce qui signifie que le fournisseur n’était pas au courant des failles et qu’aucun correctif n’était disponible.
Cette activité a été suivie par plusieurs groupes de piratage exploitant une exploitation généralisée pour déployer des shells Web personnalisés sur des périphériques de porte dérobée.
Un rapport publié aujourd’hui par Mandiant approfondit les récents cas d’exploitation de bogues très médiatisés ciblant les terminaux Ivanti, en se concentrant sur les pirates informatiques chinois de cinq clusters d’activités distincts et une famille de logiciels malveillants nommée « SPAWN » utilisée dans ces attaques.