15/11/2024

Actu Cybersécurité

Solutions Ivanti : les pirates exploitent massivement une nouvelle faille zero-day (CVE-2024-21893) !

Depuis plusieurs semaines, la situation est très compliquée pour l'éditeur Ivanti et ses clients : une nouvelle faille de sécurité zero-day a été découverte dans les solutions Ivanti Connect Secure et Ivanti Policy Secure. Les pirates l'exploitent massivement dans le cadre de cyberattaques. Faisons le point sur la situation.

Le 31 janvier 2024, Ivanti a tiré la sonnette d'alarme pour avertir ses clients de la présence d'une nouvelle faille zero-day dans ses solutions, notamment au sein du composant SAML, en publiant un nouveau bulletin de sécurité. Désormais, cette faille de sécurité, de type SSRF (Server-Side Request Forgery) est associée à la référence CVE-2024-21893. Plusieurs agences, dont l'ANSSI au niveau français, ainsi que l'agence américaine CISA, ont publiées des alertes de sécurité pour cette nouvelle CVE.

Depuis le 2 février, la vulnérabilité est massivement exploitée par les cybercriminels ! Il faut dire qu'il y a plusieurs exploits PoC disponibles sur Internet, comme sur cette page. D'après le service de monitoring TheShadowServer, 170 adresses IP différentes sont à l'origine d'attaques ayant pour objectif de compromettre des instances Ivanti. Il faut dire que cette faille est intéressante pour les pirates puisqu'elle s'exploite à distance, et lorsque, l'attaque réussie, elle permet d'outrepasser l'authentification et d'accéder à certaines ressources.

Ivanti CVE-2024-21893

Toujours d'après TheShadowServer, actuellement, près de 22 500 instances Ivanti Connect Secure sont exposés sur Internet. Attention, il s'agit du nombre total d'instances, et nous ignorons combien d'entre elles sont vulnérables à cette faille zero-day.

Comment se protéger ?

Si vous utilisez Ivanti Connect Secure, Ivanti Policy Secure, mais aussi Ivanti ZTA, vous devez installer le dernier correctif de sécurité pour vous protéger de cette nouvelle faille zero-day, ainsi que de celles dévoilées dernièrement : CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 et CVE-2024-21893.

Le 1er février 2024, Ivanti a indiqué ceci sur son bulletin de sécurité : "Un correctif corrigeant toutes les vulnérabilités connues est maintenant disponible pour Ivanti Connect Secure version 22.5R2.2 et Ivanti Policy Secure 22.5R1.1."

C'est réellement à effectuer en priorité si vous utilisez ces solutions.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.