Les solutions VPN Connect Secure (ICS) et Policy Secure d’Ivanti présentent deux failles de sécurité exploitées massivement à l’heure actuelle, selon l’équipe de recherche en cybersécurité de Volexity. Plus de 4.300 appareils seraient touchés, dont quelques centaines en France. Des organisations de toutes tailles et tous types seraient d’ores et déjà compromises.
Ivanti a confirmé l’existence de ces deux vulnérabilités ‘zero-day’, CVE-2023-46805 et CVE-2024-21887, le 10 janvier dernier. La vulnérabilité de contournement de l’authentification (CVE-2023-46805) a reçu un score de gravité de 8,2 sur 10, tandis que la vulnérabilité d’injection de commande (CVE-2024-21887) a reçu un score de gravité de 9,1 sur 10.
« L’exploitation (de ces failles) ne nécessite pas d’authentification et permet d’élaborer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système », précise Ivanti dans un communiqué. « Nous conseillons vivement d’appliquer immédiatement des mesures d’atténuation », souligne la société, « pour bloquer l’accès aux points d’extrémité vulnérables ». Il est également conseillé d’exécuter l’outil de vérification de l’intégrité interne et externe d’Ivanti. Les premiers correctifs ne seront disponibles qu’à partir du 22 janvier, prévient le fournisseur, puis dans le courant du mois de février.
Les attaques proviendraient essentiellement d’un acteur de la menace surnommé UTA0178, travaillant pour le compte du gouvernement chinois. Un autre groupe, baptisé UTA0188 par Volexity, serait également à l’origine de tentatives d’exploitation des vulnérabilités.
La plupart des victimes sont infectées par une version légèrement modifiée du webshell ‘GIFTEDVISITOR’.
Selon des données récentes de ShadowServer, la plus grande concentration d’appareils ICS demeurant vulnérables à ces failles se trouve aux Etats-Unis (environ 1.500 appareils), au Japon (957), en Chine (436), à Taïwan (406) et en Corée du Sud (402). L’Allemagne est le pays d’Europe le plus exposé avec 385 appareils, suivi de la France (279) et du Royaume-Uni (250).