Des milliers de points de terminaison Ivanti Connect Secure et Policy Secure restent vulnérables à de multiples problèmes de sécurité révélés pour la première fois il y a plus d’un mois et que le fournisseur a progressivement corrigés.

Les failles sont CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 et CVE-2024-21888. Leur gravité varie de élevée à critique et concerne le contournement de l’authentification, la falsification des requêtes côté serveur, l’exécution arbitraire de commandes et les problèmes d’injection de commandes.

Certaines de ces vulnérabilités ont été signalées comme exploitées par des acteurs étatiques avant d’être exploitées à plus grande échelle par un large éventail d’acteurs de la menace.

À partir de CVE-2024-22024, le problème est une vulnérabilité XXE dans le composant SAML des passerelles Ivanti Connect Secure, Policy Secure et ZTA qui permet un accès non autorisé aux ressources restreintes.

Divulgué pour la première fois la semaine dernière et sans qu’aucune exploitation active n’ait encore été confirmée, le fournisseur a indiqué qu’il était essentiel d’appliquer immédiatement les mises à jour de sécurité ou les mesures d’atténuation disponibles, s’il n’y a pas de correctif disponible.

Un rapport Akamai publié aujourd’hui mentionne que l’activité d’analyse ciblant cette faille particulière a déjà commencé, culminant à 240 000 demandes et 80 adresses IP tentant d’envoyer des charges utiles le 11 février 2024.

Le service de surveillance des menaces Shadowserver signale que ses analyses Internet montrent plus de 3 900 points de terminaison Ivanti vulnérables à CVE-2024-22024. La plupart d’entre eux se trouvent aux États-Unis (1 262).

L’organisation a constaté qu’environ 1 000 points de terminaison Ivanti sont toujours vulnérables à CVE-2024-21887, une faille qui permet aux administrateurs authentifiés d’exécuter des commandes arbitraires sur des appliances vulnérables en envoyant des requêtes spécialement conçues.

La vulnérabilité a été révélée pour la première fois comme un jour zéro le 10 janvier 2024 et aurait été exploitée par des pirates informatiques chinois, ainsi que CVE-2023-46805, un problème de contournement d’authentification.

Yutaka Sejiyama, chercheur en sécurité chez Macnica, a partagé les résultats de son analyse de Shodan avec Breachtrace plus tôt dans la journée, signalant qu’au 15 février 2024, 00h15 UTC, il y avait 13 636 serveurs Ivanti qui n’avaient pas encore appliqué de correctifs pour CVE-2024-21893, CVE-2024-21888, CVE-2023-46805 et CVE-2024-21887.

Des mises à jour de sécurité pour ces quatre vulnérabilités ont été mises à disposition par Ivanti il y a plus d’un mois, le 31 janvier 2024.

Selon le chercheur, le nombre total de serveurs Ivanti exposés à Internet est de 24 239, ce qui signifie que plus de la moitié d’entre eux ne sont pas corrigés.

En ce qui concerne CVE-2024-22024, qui a été divulgué et corrigé le 8 février 2024, les recherches de Sejiyama montrent un pourcentage global de correctifs de seulement 21,1% à ce jour, laissant 19 132 serveurs exposés à la dangereuse faille d’accès non autorisé.

Malheureusement, les failles affectant les produits Ivanti ont été révélées sur une courte période, laissant peu de temps à l’administrateur pour se préparer à l’application des correctifs.

Cela complique les efforts de remédiation et augmente le risque que les systèmes Ivanti restent vulnérables pendant de longues périodes, fournissant aux acteurs de la menace une longue liste de victimes potentielles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *