Depuis plusieurs semaines, la situation est très compliquée pour l'éditeur Ivanti et ses clients : une nouvelle faille de sécurité zero-day a été découverte dans les solutions Ivanti Connect Secure et Ivanti Policy Secure. Les pirates l'exploitent massivement dans le cadre de cyberattaques. Faisons le point sur la situation.

Le 31 janvier 2024, Ivanti a tiré la sonnette d'alarme pour avertir ses clients de la présence d'une nouvelle faille zero-day dans ses solutions, notamment au sein du composant SAML, en publiant un nouveau bulletin de sécurité. Désormais, cette faille de sécurité, de type SSRF (Server-Side Request Forgery) est associée à la référence CVE-2024-21893. Plusieurs agences, dont l'ANSSI au niveau français, ainsi que l'agence américaine CISA, ont publiées des alertes de sécurité pour cette nouvelle CVE.

Depuis le 2 février, la vulnérabilité est massivement exploitée par les cybercriminels ! Il faut dire qu'il y a plusieurs exploits PoC disponibles sur Internet, comme sur cette page. D'après le service de monitoring TheShadowServer, 170 adresses IP différentes sont à l'origine d'attaques ayant pour objectif de compromettre des instances Ivanti. Il faut dire que cette faille est intéressante pour les pirates puisqu'elle s'exploite à distance, et lorsque, l'attaque réussie, elle permet d'outrepasser l'authentification et d'accéder à certaines ressources.

Toujours d'après TheShadowServer, actuellement, près de 22 500 instances Ivanti Connect Secure sont exposés sur Internet. Attention, il s'agit du nombre total d'instances, et nous ignorons combien d'entre elles sont vulnérables à cette faille zero-day.

Comment se protéger ?

Si vous utilisez Ivanti Connect Secure, Ivanti Policy Secure, mais aussi Ivanti ZTA, vous devez installer le dernier correctif de sécurité pour vous protéger de cette nouvelle faille zero-day, ainsi que de celles dévoilées dernièrement : CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 et CVE-2024-21893.

Le 1er février 2024, Ivanti a indiqué ceci sur son bulletin de sécurité : "Un correctif corrigeant toutes les vulnérabilités connues est maintenant disponible pour Ivanti Connect Secure version 22.5R2.2 et Ivanti Policy Secure 22.5R1.1."

C'est réellement à effectuer en priorité si vous utilisez ces solutions.

Source

The post Solutions Ivanti : les pirates exploitent massivement une nouvelle faille zero-day (CVE-2024-21893) ! first appeared on IT-Connect.