CERTFR-2024-ALE-001

<p><span style="color: #ff0000;"><strong>[Mise à jour du 4 mars 2024]</strong> Ivanti a publié le 29 février des recommandations de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].<br /> </span></p> <p><strong>[Mise à jour du 15 février 2024] </strong><span class="mx_EventTile_body markdown-body" dir="auto">l'éditeur a publié le 15 février des correctifs pour les versions suivantes, qui n'en disposaient pas encore jusque-là :</span><strong><br /> </strong></p> <ul> <li><span class="mx_EventTile_body markdown-body" dir="auto">Ivanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1</span></li> <li><span class="mx_EventTile_body markdown-body" dir="auto">Ivanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1</span></li> </ul> <p><strong>[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024</strong><span style="color: #ff0000;"><strong><br /> </strong></span></p> <p><span class="mx_EventTile_body" dir="auto">La publication des premières vulnérabilités a fait suite à la découverte par l'éditeur de leur exploitation ciblée, probablement depuis 2023. L'exploitation de ces vulnérabilités aurait permis aux attaquants de se latéraliser et de récupérer des identifiants sur les équipements Ivanti compromis. Ensuite, des codes d'exploitation, puis de nouvelles vulnérabilités, ont été publiés mi-janvier. L'ensemble de ces vulnérabilités est exploité massivement.</span></p> <p>Le 08 février 2024, Ivanti a publié un bulletin de sécurité concernant la vulnérabilité <span class="mx_EventTile_body" dir="auto">CVE-2024-22024, affectant les produits </span><span class="test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld" data-aura-rendered-by="34:347;a"><span data-aura-rendered-by="35:347;a">Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le détail des versions vulnérables est disponible dans la section solution. Elle permet à un attaquant non authentifié d'accéder à des ressources restreintes. Les chercheurs ayant découvert cette vulnérabilité ont publié une preuve de concept.<br /> </span></span></p> <p><strong>[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe</strong></p> <p><strong>[Mise à jour du 02 février 2024] Correctifs disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la procédure.<br /> </strong></p> <p><span style="color: #000000;"><strong>[Mise à jour du 01 février 2024]</strong> Fusion de la partie solution et contournement provisoire</span></p> <p><strong>[Version du 31 janvier 2024]</strong> Ajout d’informations sur les correctifs et des nouvelles vulnérabilités</p> <p>L'éditeur a publié des informations concernant deux nouvelles vulnérabilités. La vulnérabilité CVE-2024-21888 permet une élévation de privilège sur le composant web. La vulnérabilité CVE-2024-21893 permet à un attaquant non authentifié de forger des requêtes côté serveur (SSRF) au travers du composant SAML. Cette dernière est activement exploitée.</p> <p>Des correctifs sont disponibles, veuillez vous référer à la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l'outil ICT même si la version externe est utilisée.</p> <p><strong>[Version du 23 janvier 2024]</strong></p> <p>Des acteurs malveillants exploitent massivement les vulnérabilités dans le but d’extorquer les comptes et les mots de passe ayant pu transiter sur les équipements vulnérables.</p> <p>La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.</p> <p>Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d'attaques ciblées. Le CERT-FR a connaissance de nombreux équipements compromis. Différentes sources ont mentionné l'exploitation de ces vulnérabilités afin de mettre en place des méthodes de persistance sur l'équipement [1][3].</p> <p>Des codes d'exploitations publics sont disponibles sur Internet afin d'exploiter les deux vulnérabilités à la suite.</p> <h2>Détection</h2> <p><strong>[Version du 23 janvier 2024]</strong></p> <p align="justify">Pour savoir si vous êtes concernés par ces attaques, le CERT-FR vous propose les actions suivantes :</p> <ol> <li> <p align="justify">Exécuter le script <i>Integrity Check Tool </i>publié par IVANTI [5] sur tous les équipements composant la grappe (<i>cluster)</i>. En cas de résultats non nuls aux étapes 8 et 9, l’équipement est compromis ;</p> </li> <li> <p align="justify">L'attaquant peut tenter de contourner les contrôles effectués par l'<em>ICT</em>, il est donc également nécessaire de rechercher dans les journaux toute trace des marqueurs publiés par les sources publiques [1] [3] [11] [12] [13] [14]<em>. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.<br /> </em></p> </li> </ol> <p align="justify">En cas de détection positive :</p> <ol> <li> <p align="justify">Réaliser un gel de données (instantanés pour les <i>Appliances</i> virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.</p> </li> <li> <p align="justify">Signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métiers. Le CERT-FR vous recontactera si nécessaire pour le traitement de l’incident ou vous communiquera des éléments supplémentaires.</p> </li> </ol> <p align="justify">Par ailleurs, le CERT-FR réalise régulièrement des scans à partir des IP mentionnées dans la page associée [6] et contacte les entités identifiées comme vulnérables ou compromises.</p>