Les solutions VPN Connect Secure (ICS) et Policy Secure d’Ivanti présentent deux failles de sécurité exploitées massivement à l’heure actuelle, selon l’équipe de recherche en cybersécurité de Volexity. Plus de 4.300 appareils seraient touchés, dont quelques centaines en France. Des organisations de toutes tailles et tous types seraient d’ores et déjà compromises.

Ivanti a confirmé l’existence de ces deux vulnérabilités ‘zero-day’, CVE-2023-46805 et CVE-2024-21887, le 10 janvier dernier. La vulnérabilité de contournement de l’authentification (CVE-2023-46805) a reçu un score de gravité de 8,2 sur 10, tandis que la vulnérabilité d’injection de commande (CVE-2024-21887) a reçu un score de gravité de 9,1 sur 10.

« L’exploitation (de ces failles) ne nécessite pas d’authentification et permet d’élaborer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système », précise Ivanti dans un communiqué. « Nous conseillons vivement d’appliquer immédiatement des mesures d’atténuation », souligne la société, « pour bloquer l’accès aux points d’extrémité vulnérables ». Il est également conseillé d’exécuter l’outil de vérification de l’intégrité interne et externe d’Ivanti. Les premiers correctifs ne seront disponibles qu’à partir du 22 janvier, prévient le fournisseur, puis dans le courant du mois de février.

Les attaques proviendraient essentiellement d’un acteur de la menace surnommé UTA0178, travaillant pour le compte du gouvernement chinois. Un autre groupe, baptisé UTA0188 par Volexity, serait également à l’origine de tentatives d’exploitation des vulnérabilités.

La plupart des victimes sont infectées par une version légèrement modifiée du webshell ‘GIFTEDVISITOR’.

Selon des données récentes de ShadowServer, la plus grande concentration d’appareils ICS demeurant vulnérables à ces failles se trouve aux Etats-Unis (environ 1.500 appareils), au Japon (957), en Chine (436), à Taïwan (406) et en Corée du Sud (402). L’Allemagne est le pays d’Europe le plus exposé avec 385 appareils, suivi de la France (279) et du Royaume-Uni (250).

Nos lecteurs ont lu ensuite


Un groupement d’agences nationales de cybersécurité publie une liste des vulnérabilités les plus exploitées
Les autorités chargées de la cybersécurité aux Etats-Unis, au Royaume-Uni, en Australie, au Canada et en Nouvelle-Zélande ont établi un top 15 des vulnérabilités les plus exploitées en 2021. Sans surprise, les principales cibles sont...

Ivanti rachète MobileIron et Pulse Secure
Depuis l’été, le bruit courait d’une cession de MobileIron. C’est quasiment chose faite. Ivanti, avec le soutien de filiale du groupe Clearlake Capital Group, et de TA Associates, annonce la signature d’un accord définitif pour le...

Des vulnérabilités critiques trouvées dans des millions de commutateurs Aruba (HP) et Avaya (Extreme Networks)
TLStorm 2.0 : tel est le petit nom attribué à cinq vulnérabilités critiques découvertes par la société de cybersécurité Armis dans dix millions de commutateurs Aruba de HP et Avaya (rachetés par Extreme Networks en 2017)....

Ivanti stupéfie son réseau de distribution en annonçant un virage vers le direct
Coup de tonnerre pour les partenaires Ivanti. Dans la foulée du renouvellement de son équipe de direction, l’éditeur vient d’annoncer à une grande majorité d’entre eux son intention de revoir en profondeur sa politique de...

HP avertit qu’un grand nombre de ses imprimantes présentent de graves failles de sécurité
HP alerte sur des failles de sécurité qui rendent des centaines de modèles de ses gammes d’imprimantes vulnérables à l’exécution de code à distance. Le fournisseur a publié deux bulletins de sécurité portant sur plusieurs...