Sommaire

Vulnérabilité du VPN Ivanti : Ce que vous devez savoir

Sommaire

Des pirates informatiques parrainés par l'État chinois ont ciblé des vulnérabilités récemment annoncées dans les produits VPN Ivanti, les passerelles Ivanti Connect Secure (anciennement Pulse Secure) et Ivanti Policy Secure. Ces vulnérabilités sont signalées sous les noms de CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 et CVE-2024-21893.

Utilisées conjointement, ces vulnérabilités peuvent permettre le contournement d'une authentification non autorisée et l'exécution de commandes à distance. Ivanti a publié des correctifs pour ces vulnérabilités pour les versions les plus utilisées de ses produits, mais la société n'a pas encore publié de correctifs pour toutes les versions vulnérables de ses produits. Il en résulte un risque accru d'élévation des privilèges et de falsification des requêtes côté serveur pour les personnes qui ne sont pas encore en mesure d'appliquer un correctif.

 

Mesures de sécurité et recommandations d'Ivanti

Unit 42® conseille d'appliquer immédiatement les correctifs pour ces vulnérabilités dès qu'ils sont disponibles et d'adopter une attitude proactive en réinitialisant les systèmes avant d'appliquer les correctifs afin de garantir l'intégrité de l'environnement. En réponse aux vulnérabilités récemment découvertes, nous nous faisons l'écho de la recommandation de la CISA de déconnecter du réseau les solutions compromises et soulignons l'importance d'appliquer avec diligence les correctifs disponibles ou à venir.

Dans le dernier segment du podcast Threat Vector, les experts en cybersécurité de l'Unit 42, Sam Rubin, vice-président et responsable mondial des opérations, et Ingrid Parker, directrice principale de l'Intel Response Unit, se plongent dans les vulnérabilités critiques découvertes dans les produits Connect Secure et Policy Security d'Ivanti. Ils étudient l'impact potentiel des vulnérabilités, l'urgence des mesures d'atténuation et les stratégies de défense.

Podcast vectoriel
white triangle

Abonnez-vous et écoutez via votre lecteur de podcast préféré

 

Unit 42 Cas de réponse à un incident

Les campagnes d'exploitation des vulnérabilités CVE-2023-46805 et CVE-2024-21887 d'Ivanti se sont déroulées en trois vagues distinctes.

La première vague a duré au moins de la deuxième semaine de décembre 2023 au 10 janvier 2024, date à laquelle Volexity a publié son premier article de blog sur le sujet. Les attaques menées dans le cadre de cette campagne étaient ciblées et comportaient plusieurs shells web personnalisés ainsi que des déplacements latéraux. L'Unit 42 a répondu à des menaces qui correspondaient probablement à cette vague de campagnes.

De manière similaire à l'activité évoquée dans l'article de blog de Volexity, nous avons observé l'acteur de la menace effectuer les activités suivantes :

  • Archivage de fichiers dont NTDS.dit à l'aide de 7-Zip avant l'exfiltration
  • Créez un vidage de la mémoire du processus LSASS à l'aide du gestionnaire des tâches de Windows (Taskmgr.exe).
  • Déplacement latéral via le protocole de bureau à distance (RDP)
  • Suppression des journaux

La deuxième vague a commencé après le premier billet de Volexity, le 10 janvier 2024. Cette vague a été marquée par le passage d'attaques ciblées à une exploitation massive par d'autres acteurs de la menace.

L'Unit 42 a répondu à des cas de menaces qui correspondaient probablement à cette vague de campagnes. L'activité menaçante était la même dans tous les cas.

L'acteur de la menace a déversé des données de configuration contenant des schémas, des paramètres, des noms et des identifiants des différents utilisateurs et comptes du réseau, mais n'a pas effectué de mouvements latéraux comme les incidents survenus lors de la première vague.

L'Unit 42 pense que les acteurs de la menace à l'origine de cette activité ont pu se concentrer sur une exploitation plus large afin de maximiser l'impact avant que les organisations ne puissent commencer à appliquer des correctifs et des mesures d'atténuation.

La troisième vague a commencé dès le 16 janvier 2024, lorsque des exploits de type "proof-of-concept" (PoC) ont été rendus publics. La publication de ces exploits conduit à une exploitation massive par une série d'acteurs aux motivations et aux degrés de sophistication variés, notamment des entités criminelles déployant à grande échelle des cryptomining et divers logiciels de surveillance et de gestion à distance (RMM).

L'Unit 42 a répondu à des menaces correspondant probablement à cette vague, émanant d'un acteur de la menace utilisant un exploit PoC accessible au public. Nous aidons actuellement nos clients à enquêter sur ces incidents.

Stratégies globales de défense d'Ivanati

La découverte de ces failles souligne la nécessité de mesures de sécurité vigilantes et de capacités de réaction rapide. Cela a mis en évidence des failles de sécurité critiques dans les technologies de réseaux privés virtuels (VPN) largement utilisées et exploitées par des acteurs de menace sophistiqués. Ces vulnérabilités permettent un accès et un contrôle non autorisés, ce qui présente des risques importants pour les réseaux des organisations.

Les stratégies suivantes sont essentielles pour maintenir un dispositif de sécurité solide face à l'évolution des cybermenaces et assurer la protection des informations sensibles et des infrastructures critiques :

  • Faites l'inventaire de vos biens : Cataloguer tous les dispositifs, systèmes et logiciels du réseau.
  • Choisissez les bons outils : Utilisez les outils d'analyse des vulnérabilités les mieux adaptés à la complexité et à l'échelle de votre environnement informatique.
  • Recherchez les vulnérabilités : Exécutez régulièrement des analyses pour identifier les faiblesses de sécurité de vos systèmes.
  • Analysez les résultats : Examinez attentivement les résultats de l'analyse pour classer les vulnérabilités par ordre de priorité en fonction de leur gravité et de leur impact potentiel.
  • Remédier à la situation et appliquer des correctifs : Appliquer les correctifs ou les solutions de contournement nécessaires pour atténuer les vulnérabilités identifiées.
  • Répétez et révisez : Surveillez et réévaluez votre dispositif de sécurité pour vous adapter aux nouvelles menaces.

Ne manquez pas de consulter notre rapport Ivanti sur les menaces émergentes :

Unit 42 Rapport sur les menaces émergentes

Rapport sur les menaces émergentes de l'Unit 42 : Vulnérabilités multiples d'Ivanti

Adopter une stratégie globale de cybersécurité

Il est essentiel de prendre des mesures significatives pour protéger votre réseau des cybermenaces potentielles. Pour protéger votre réseau, vous pouvez notamment dissimuler les applications et les réseaux privés virtuels (VPN) à la vue du public sur l'internet afin de les mettre à l'abri des attaquants. Vous devez également inspecter minutieusement tout le trafic entrant et sortant afin de neutraliser les menaces telles que les logiciels malveillants et les exploits de type "zero-day".

L'application du principe du moindre privilège à l'ensemble de votre réseau est une autre étape essentielle. Cela permet de s'assurer que les utilisateurs ne peuvent accéder qu'aux ressources nécessaires à leur rôle. Vous devez également renforcer les contrôles d'accès en utilisant une authentification multifactorielle robuste pour vérifier efficacement les identités des utilisateurs.

Il est également recommandé de connecter les utilisateurs directement aux applications plutôt qu'au réseau général. Cela permet de minimiser les dommages potentiels liés aux incidents de sécurité. L'utilisation d'une surveillance constante est également essentielle pour identifier et atténuer les menaces posées par des personnes initiées compromises ou des acteurs externes.

Pour protéger les données sensibles, une surveillance diligente et un cryptage doivent être appliqués à la fois en transit et au repos. L'utilisation de technologies de déception et la chasse aux menaces proactive peuvent aider à identifier et à neutraliser les menaces avant qu'elles ne causent des dommages.

En favorisant une culture de la sécurité au sein de votre organisation, vous pouvez également vous prémunir contre des vecteurs courants tels que le hameçonnage. L'évaluation régulière de vos mesures de sécurité par le biais d'évaluations et de simulations peut aider à identifier et à corriger les vulnérabilités.

Approche zéro confiance de Palo Alto Networks

En réponse à ces menaces, Palo Alto Networks met l'accent sur la criticité d'une architecture Zero Trust, offrant un accès sécurisé et segmenté aux applications sans les exposer aux menaces directes d'Internet. Nos solutions, notamment les politiques de segmentation et de prévention des menaces avancées, sont conçues pour minimiser la surface d'attaque, empêcher les accès non autorisés, et détecter et réagir aux menaces en temps réel.

 

10 questions et réponses FAQ sur la vulnérabilité d'Ivanti pour les professionnels de la sécurité des entreprises

La vulnérabilité Ivanti fait référence à cinq vulnérabilités élevées ou critiques (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893, et CVE-2024-22024) divulguées par Ivanti dans ses produits Connect Secure et Policy Secure. Ces vulnérabilités vont du contournement de l'authentification et de l'injection de commandes à l'escalade des privilèges et à la falsification des requêtes côté serveur.
Ces vulnérabilités peuvent permettre un accès non autorisé aux produits Ivanti, entraînant l'exécution de commandes non autorisées, l'élévation des privilèges et l'accès à des ressources restreintes. Ces vulnérabilités présentent des risques importants pour les réseaux des entreprises et peuvent entraîner des violations de données ou des interruptions de services réseau.
Si elles sont exploitées, ces vulnérabilités peuvent donner aux attaquants un accès à des ressources restreintes, leur permettre d'élever leurs privilèges à un niveau administrateur et même d'exécuter des commandes arbitraires sur l'appareil. Ces vulnérabilités exploitées pourraient conduire à des violations de données, à des perturbations des services du réseau et à d'autres infiltrations du réseau.
Ivanti a fourni un outil de vérification de l'intégrité externe que vous pouvez exécuter pour vérifier les signes de ces vulnérabilités dans vos produits Ivanti. Cet outil a été mis à jour avec des fonctionnalités supplémentaires pour remédier à ces vulnérabilités.
Si vos produits Ivanti sont concernés, Ivanti recommande d'appliquer les correctifs fournis dès qu'ils sont disponibles. Pour les produits pour lesquels les correctifs ne sont pas encore disponibles, Ivanti suggère d'effectuer une solution de contournement jusqu'à ce que les correctifs soient publiés.
Si vous soupçonnez que ces vulnérabilités ont été exploitées, vous devez déconnecter les produits Ivanti concernés de votre réseau, comme le recommande la CISA. Vous devez également mettre en place un processus de réponse aux incidents, rechercher les signes de compromission et envisager de faire appel à une assistance professionnelle en matière de cybersécurité. L'Unit 42 de Palo Alto Networks peut vous aider, appelez-nous.
Une analyse régulière des vulnérabilités, l'application de correctifs en temps voulu et des plans de réponse aux incidents résilients sont essentiels pour protéger votre organisation. Il est également essentiel de suivre les meilleures pratiques en matière de sécurité, telles que l'accès au moindre privilège, l'authentification multifactorielle et la segmentation du réseau.
Les COI spécifiques peuvent varier, notamment un trafic réseau inhabituel, un comportement inattendu du système et des preuves d'accès non autorisé ou d'escalade des privilèges. Des CIO plus spécifiques peuvent être fournis par Ivanti ou votre fournisseur de solutions de sécurité.
Depuis la dernière mise à jour, plus de 28 000 instances d'Ivanti Connect Secure et Policy Secure ont été exposées dans 145 pays. Plus de 600 cas de compromission ont été observés. Ces vulnérabilités sont activement exploitées depuis au moins le début du mois de décembre 2023.
Oui, les clients de Palo Alto Networks peuvent mettre en œuvre des mesures d'atténuation de ces vulnérabilités à l'aide de divers produits et fonctionnalités tels que Cortex Xpanse, Next-Generation Firewall with Advanced Threat Prevention, Advanced WildFire, Advanced URL Filtering and DNS Security, et Cortex XDR et XSIAM.
Contenu connexe
Gouvernance de la sécurité de l'information
Pour protéger les informations de manière cohérente dans l'ensemble de l'entreprise, il faut disposer des bonnes personn...
Utiliser les politiques de données pour détecter les expositions de données ou les logiciels malveillants
Détectez les logiciels malveillants et empêchez l'exposition involontaire ou malveillante de données sensibles grâce à des profils et des schémas de données prédéfinis.
5 organisations obtiennent une visibilité et une conformité à 360
Découvrez comment les organisations obtiennent une visibilité centralisée sur les environnements cloud afin de remédier aux vulnérabilités et d'éliminer les menaces.
Visibilité et classification des données
De nombreuses organisations n'ont pas suffisamment de visibilité sur les types de données critiques telles que les infor...

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité