Une vulnérabilité Ivanti Connect Secure et Ivanti Policy Secure server-side request forgery (CSRF) identifiée comme CVE-2024-21893 est actuellement exploitée en masse par plusieurs attaquants.
Ivanti a d’abord mis en garde contre la faille dans les composants SAML de la passerelle le 31 janvier 2024, lui donnant un statut de jour zéro pour une exploitation active limitée, affectant un petit nombre de clients.
L’exploitation de CVE-2024-21893 a permis aux attaquants de contourner l’authentification et d’accéder à des ressources restreintes sur des appareils vulnérables (versions 9.x et 22.x).
Le service de surveillance des menaces Shadowserver voit maintenant plusieurs attaquants exploiter le bogue SSRF, avec 170 adresses IP distinctes tentant d’exploiter la faille.
Le volume d’exploitation de cette vulnérabilité particulière est bien supérieur à celui d’autres failles Ivanti récemment corrigées ou atténuées, indiquant un changement clair dans l’orientation des attaquants.
Bien que l’exploit de preuve de concept (PoC) publié par les chercheurs de Rapid7 le 2 février 2024 ait sans aucun doute joué un rôle dans l’assistance aux attaques, Shadowserver note qu’ils ont vu des attaquants utiliser des méthodes similaires quelques heures avant la publication du rapport Rapid7.
Cela signifie que les pirates informatiques avaient déjà compris comment exploiter CVE-2024 – 21893 pour un accès illimité et non authentifié aux points de terminaison Ivanti vulnérables.
Selon ShadowServer, il y a actuellement près de 22 500 appareils sécurisés Ivanti Connect exposés sur Internet. Cependant, on ignore combien sont vulnérables à cette vulnérabilité particulière.
Un désordre de sécurité
La divulgation de CVE-2024-21893 s’est accompagnée de la publication de mises à jour de sécurité pour deux autres jours zéro ayant un impact sur les mêmes produits, CVE-2023-46805 et CVE-2024-21887, qu’Ivanti a découverts pour la première fois le 10 janvier 2024, partageant des atténuations temporaires.
Ces deux failles ont été exploitées par le groupe de menaces d’espionnage chinois UTA0178 / UNC5221 pour installer des webshells et des portes dérobées sur des appareils piratés. Les infections de cette campagne ont culminé à environ 1 700 à la mi-janvier.
Malgré les mesures d’atténuation initiales, les attaquants ont contourné les défenses, compromettant même les fichiers de configuration de l’appareil, ce qui a conduit Ivanti à reporter ses correctifs de micrologiciel, prévus pour le 22 janvier, pour faire face à la menace sophistiquée.
En raison de la situation d’exploitation active de plusieurs vulnérabilités critiques du jour zéro, du manque d’atténuations efficaces et du manque de mises à jour de sécurité pour certaines des versions de produits impactées, la Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences fédérales de déconnecter toutes les appliances VPN sécurisées Ivanti Connect et Policy Secure.
Seuls les périphériques qui ont été réinitialisés aux paramètres d’usine et mis à niveau vers la dernière version du micrologiciel doivent être reconnectés au réseau. Cependant, les anciennes versions qui restent affectées sont toujours sans correctif.
Cette instruction s’étend aux organisations privées, bien qu’elle ne soit pas obligatoire. Par conséquent, les entreprises doivent sérieusement considérer l’état de sécurité de leurs déploiements Ivanti et la confiance de leur environnement en général.