La vulnérabilité Ivanti 2024, identifiée comme CVE-2024-21893 et affectant Ivanti Connect Secure et Ivanti Policy Secure, est actuellement confrontée à une exploitation généralisée par de nombreux adversaires en raison d’une faille de falsification de requête côté serveur (SSRF).
CVE-2024-21893 : Détails de la vulnérabilité Ivanti 2024
Le 31 janvier 2024, Ivanti a initialement émis des alertes concernant cette vulnérabilité au sein des composants SAML de la passerelle, la désignant comme un jour zéro en raison de son exploitation active, quoique limitée, affectant quelques clients. La violation de CVE-2024-21893 permet aux auteurs de contourner les mesures d’authentification et d’accéder aux zones restreintes des modèles concernés (versions 9.x et 22.x).
Shadowserver, une entité de surveillance des menaces, rapporte avoir observé une augmentation des tentatives d’exploitation, avec 170 adresses IP uniques ciblant la vulnérabilité Ivanti 2024.
We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver) February 4, 2024
La fréquence et l’intensité de ces attaques sur CVE-2024-21893 dépassent celles observées avec d’autres vulnérabilités Ivanti qui ont été récemment corrigées ou atténuées, mettant en évidence un tournant important dans la stratégie des attaquants.
La diffusion d’un exploit de preuve de concept (PoC) par chercheurs de Rapid7 le 2 février 2024, a probablement facilité ces agressions. Cependant, les conclusions de Shadowserver suggèrent que les attaquants employaient des tactiques comparables pour exploiter la vulnérabilité Ivanti 2024 heures avant que les conclusions de Rapid7 ne soient rendues publiques, indiquant que les attaquants avaient maîtrisé de manière préventive l’art d’exploiter CVE-2024-21893 pour obtenir un accès sans entrave et non authentifié aux vulnérabilités Ivanti. points finaux.
L’analyse de ShadowServer révèle qu’environ 22 500 appareils Ivanti Connect Secure sont actuellement accessibles en ligne, bien que le nombre exact vulnérable à cette faille spécifique reste incertain.
Un dilemme de sécurité complexe s’est révélé avec la révélation de CVE-2024-21893, coïncidant avec la publication de correctifs de sécurité traitant de deux vulnérabilités zero-day supplémentaires affectant les mêmes produits Ivanti : CVE-2023-46805 et CVE-2024-21887, initialement identifiées. par Ivanti le 10 janvier 2024. Ivanti a rapidement partagé les contre-mesures provisoires suite à leur découverte. Ces vulnérabilités ont été exploitées par l’entité d’espionnage chinoise connue sous le nom d’UTA0178/UNC5221, les utilisant pour implanter des webshells et des portes dérobées dans des systèmes compromis. Au plus fort de cet effort d’infiltration, environ 1 700 appareils ont été touchés à la mi-janvier.
Malgré les premières tentatives d’intervention d’Ivanti, les adversaires ont réussi à contourner ces protections initiales, allant même jusqu’à falsifier les fichiers de configuration des appareils. Cela a conduit Ivanti à retarder le déploiement de ses mises à jour de micrologiciel, initialement prévu pour le 22 janvier, afin de faire face efficacement à cette menace avancée.
Appliances Ivanti Policy Secure VPN concernées
Au milieu de l’exploitation continue de ces graves vulnérabilités Zero Day, aggravée par l’absence de contre-mesures robustes et de mises à jour pour certaines versions des produits concernés, la Cybersecurity & Infrastructure Security Agency (CISA) américaine a mandaté les agences fédérales pour rompre les connexions avec toutes les politiques Ivanti. Appliances VPN sécurisées concernées. La reconnexion est autorisée uniquement pour les appareils qui ont subi une réinitialisation d’usine et ont été mis à jour avec la version la plus récente du micrologiciel. Néanmoins, les anciennes versions qui restent sensibles ne disposent toujours pas d’une mise à jour corrective.
Tout ce que vous devez savoir sur Règlement pour violation de données d’Equifax
Cette directive est également conseillée aux entités du secteur privé, bien que son respect ne soit pas obligatoire. C’est pourquoi les organisations sont invitées à évaluer minutieusement l’état de sécurité de leurs solutions Ivanti et la fiabilité globale de leurs environnements réseau.
Des vulnérabilités telles que CVE-2024-21893 exposent les défis complexes auxquels les organisations sont confrontées dans la protection des infrastructures numériques. L’exploitation généralisée de la vulnérabilité Ivanti 2024 souligne l’importance cruciale de mesures rapides et proactives pour corriger les failles de sécurité connues et renforcer les défenses. Il s’agit d’un rappel brutal aux entités de tous les secteurs de rester vigilantes, de surveiller en permanence leurs systèmes pour détecter toute activité inhabituelle et d’adhérer aux meilleures pratiques en matière d’hygiène de cybersécurité. À mesure que les adversaires deviennent plus sophistiqués, nos stratégies de défense doivent également évoluer, garantissant l’intégrité et la résilience de nos écosystèmes numériques contre la menace omniprésente de la cyberexploitation.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
