Les administrateurs informatiques disposant des VPN Connect Secure/Pulse Secure et des passerelles Policy Secure d’Ivanti sont invités à installer immédiatement des mesures d’atténuation.
Les atténuations visent à traiter temporairement deux vulnérabilités (CVE-2023-46805, un contournement d’authentification et CVE-2024-21887, une injection de commande) qui affectent toutes les versions prises en charge de ces produits.
S’ils sont enchaînés, « l’exploitation ne nécessite pas d’authentification et permet à un acteur malveillant de créer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système », a déclaré la société.
“Il est essentiel que vous preniez immédiatement des mesures pour garantir que vous êtes pleinement protégé”, a déclaré l’entreprise. a déclaré dans un avis.
Les correctifs seront publiés selon un calendrier échelonné, la première version devant être disponible pour les clients la semaine du 22 janvier, et la version finale devant être disponible la semaine du 19 février. D’ici là, les atténuations devront faire .
Les vulnérabilités ont été découverts par des chercheurs de Volexity, qui a détecté en décembre un mouvement latéral suspect sur le réseau d’un de ses clients du service de surveillance de la sécurité des réseaux. Un attaquant plaçait des webshells sur les serveurs Web internes et externes du client. En enquêtant plus en profondeur, Veloxity a découvert que les journaux sur le VPN sécurisé Ivanti Connect du client avaient été effacés et que la journalisation avait été désactivée. Il a ensuite découvert deux exploits zero-day différents qui étaient enchaînés pour réaliser une exécution de code à distance non authentifié.
“Lorsqu’elles sont combinées, ces deux vulnérabilités rendent triviale pour les attaquants l’exécution de commandes sur le système”, explique Volexity dans son rapport. “Dans cet incident particulier, l’attaquant a exploité ces exploits pour voler des données de configuration, modifier des fichiers existants, télécharger des fichiers distants et inverser le tunnel depuis… l’appliance VPN.”
Entre autres choses, l’attaquant a modifié des composants Connect Secure légitimes et apporté des modifications au système pour échapper à l’outil de vérification de l’intégrité du VPN.
« Alors que les organisations continuent d’améliorer et de renforcer leur défense, les attaquants recherchent continuellement des moyens de les contourner », indique le rapport Volexity. « Les systèmes accessibles par Internet, en particulier les appareils critiques tels que les appareils VPN et les pare-feu, sont redevenus une cible privilégiée des attaquants. Ces systèmes se trouvent souvent sur des parties critiques du réseau, ne peuvent pas exécuter de logiciels de sécurité traditionnels et se trouvent généralement à l’endroit idéal pour qu’un attaquant puisse opérer.
“Les organisations doivent s’assurer qu’elles disposent d’une stratégie en place pour pouvoir surveiller l’activité de ces appareils et réagir rapidement si quelque chose d’inattendu se produit.”
#Avertissement #émis #aux #administrateurs #des #passerelles #Ivanti #Connect #Secure #Policy #Secure
2024-01-11 16:41:28
