Ivanti a émis un avertissement concernant une vulnérabilité zero-day, suivie comme CVE-2025-0282dans ses appliances VPN largement utilisées qui ont été exploitées pour compromettre les réseaux des clients. La vulnérabilité peut être exploitée sans authentification, permettant aux attaquants d’implanter à distance du code malveillant sur les produits Connect Secure, Policy Secure et ZTA Gateways d’Ivanti.
Ivanti met en garde contre une vulnérabilité Zero Day dans les appliances VPN
Révélée mercredi, la faille critique affecte Ivanti Connect Secure, qui est considéré comme « le VPN SSL le plus largement adopté par les organisations de toutes tailles et dans tous les grands secteurs ». L’entreprise a pris conscience de cette vulnérabilité lorsque son outil de vérification d’intégrité (ICT) a détecté une activité malveillante sur les appareils des clients. Ivanti reconnaît avoir connaissance d’un « nombre limité de clients » dont les appareils étaient compromis.
Bien qu’un correctif soit disponible pour Connect Secure, les correctifs pour Policy Secure et ZTA Gateways, dont l’exploitabilité n’a pas été confirmée, ne sont pas attendus avant le 21 janvier. Ivanti a également identifié une deuxième vulnérabilité, CVE-2025-0283qui n’a pas encore été exploité.
N’ignorez pas : la mise à jour de cybersécurité d’Adobe pourrait sauvegarder vos données
Mandiant, une société de réponse aux incidents, signalé qu’il a observé l’exploitation du CVE-2025-0282 dès la mi-décembre 2024. Bien que Mandiant n’ait pas définitivement lié les vulnérabilités à un acteur malveillant spécifique, il soupçonne l’implication d’un groupe de cyberespionnage lié à la Chine connu sous le nom de UNC5337 et UNC5221. Ce groupe a déjà exploité les vulnérabilités d’Ivanti pour exécuter des piratages massifs contre des clients.
Selon TechCrunchBen Harris, PDG de watchTowr Labs, a souligné l’impact généralisé de la dernière faille Ivanti VPN, indiquant que les attaques présentent les caractéristiques typiques d’une menace persistante avancée. Le National Cyber Security Centre du Royaume-Uni enquête également sur des cas d’exploitation active affectant les réseaux au Royaume-Uni. Parallèlement, l’agence américaine de cybersécurité CISA a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues.
Lien avec les cyberespions chinois
Mandiant a lié l’exploitation du CVE-2025-0282 aux cyber-acteurs chinois, soulignant l’utilisation d’une famille de logiciels malveillants précédemment découverte appelée Spawn. Cette boîte à outils comprend divers outils malveillants tels qu’un installateur, un tunnelier et une porte dérobée SSH, tous liés à des activités d’espionnage attribuées à UNC5337.
Outre Spawn, Mandiant a identifié deux nouvelles familles de logiciels malveillants, DryHook et PhaseJam, qui ne sont actuellement associées à aucun groupe de menaces connu. La chaîne d’exploitation implique que les attaquants envoient des requêtes pour identifier les versions logicielles de l’appliance, puis exploitent CVE-2025-0282 pour accéder, désactiver les protections de sécurité et déployer des logiciels malveillants supplémentaires.
Une fois compromis, les attaquants ont utilisé le compte-gouttes PhaseJam pour créer des shells Web sur les appareils connectés. PhaseJam modifie également les scripts de mise à niveau pour bloquer les mises à jour réelles. La boîte à outils Spawn, destinée à persister lors des mises à niveau du système, est également déployée avec les nouvelles familles de logiciels malveillants.
L’objectif principal des attaquants semble être de voler des informations sensibles liées aux sessions VPN, aux clés API et aux informations d’identification en archivant les bases de données sur les appareils concernés et en préparant ces données pour l’exfiltration. DryHook a été utilisé pour capturer les informations d’identification des utilisateurs lors des processus d’authentification.
Les experts en sécurité recommandent aux administrateurs système d’effectuer une réinitialisation d’usine et une mise à niveau vers Ivanti Connect Secure version 22.7R2.5. Cet avis est essentiel étant donné que plus de 3 600 appliances ICS étaient déjà exposées en ligne lorsque la vulnérabilité initiale a été annoncée, bien que ce nombre ait depuis diminué à environ 2 800, ce qui indique un risque important et persistant.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
