Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
Systèmes affectés
- Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions
-
Ivanti Policy Secure gateways (IPS) toutes versions
- Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connecté à un contrôleur ZTA
Résumé
Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits ICS et IPS car ils sont affectés par deux vulnérabilités critiques.
La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.
Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d'attaques ciblées. Selon l'éditeur, une dizaine d'équipements ont été compromis.
Les correctifs ne sont pas disponibles pour l'instant. Leurs publications sont prévues, pour les versions 9.x et 22.x, entre les semaines du 22 janvier et du 19 février 2024.
Contournement provisoire
Dans l'attente des correctifs, Ivanti met des mesures de contournement à disposition sous la forme d'un fichier XML à importer, mitigation.release.20240107.1.xml.
Le CERT-FR recommande d'appliquer ces mesures dans les plus brefs délais.
Selon l'éditeur, ces mesures empêchent l'exploitation des vulnérabilités mais affectent certaines fonctionnalités (se référer au bulletin de sécurité de l'éditeur, cf. Resolution/Impact).
Ivanti déclare ne pas avoir testé ces mesures sur les équipements qui ne sont plus supportés, mais qui sont néanmoins vulnérables.
De plus, l'éditeur recommande à ses clients d'utiliser l'outil de vérification d'intégrité (Ivanti integrity checker, ICT) externe car l'éditeur a constaté des tentatives de manipulations de l'ICT interne par les attaquants. L'éditeur indique par ailleurs que l'utilisation de l'ICT externe déclenche le redémarrage de l'équipement.
Le CERT-FR conseille de suivre les recommandations de l'éditeur et d'appliquer les correctifs dans les plus brefs délais lorsque ceux-ci seront disponibles.
Documentation