CERTFR-2024-ALE-013_Exploitations de vulnérabilités dans Ivanti Cloud Services Appliance (CSA)

Objet

Exploitations de vulnérabilités dans Ivanti Cloud Services Appliance (CSA)

Référence

CERTFR-2024-ALE-013

Risques

• Exécution de code arbitraire à distance
• Contournement de la politique de sécurité

Systèmes affectés

• Ivanti Cloud Services Appliance (CSA) versions antérieures à 5.0.2

Une chaine d’exploitation complète est connue pour les produits Ivanti Cloud Services Appliance de versions antérieures à 5.0, notamment les versions 4.6 n’ayant pas appliqué le correctif 519. Les vulnérabilités CVE-2024-8190, CVE-2024-8963 et CVE-2024-9380 ont été exploitées avant la publication de ce correctif. Le CERT-FR n’a pas connaissance d’une chaine d’exploitation impactant les versions 5.0.x.

Résumé

Ivanti a publié plusieurs avis de sécurité sur des vulnérabilités affectant CSA qui sont activement exploitées :

• le 10 septembre 2024, Ivanti a publié un avis de sécurité concernant la vulnérabilité CVE-2024-8190 qui permet à un attaquant, authentifié en tant qu'administrateur, d'exécuter du code arbitraire à distance sur un équipement CSA ;
• le 13 septembre 2024, l'éditeur a ajouté que cette vulnérabilité était activement exploitée dans le cadre d'attaques ciblées ;
• le 16 septembre 2024, le CERT-FR a eu connaissance de codes d'exploitation publics pour la vulnérabilité CVE-2024-8190
• le 19 septembre 2024, Ivanti a publié un nouvel avis de sécurité affectant CSA. La vulnérabilité CVE-2024-8963 permet à un attaquant non authentifié de contourner l'authentification et d'obtenir les droits administrateur ;
• le 8 octobre 2024, Ivanti a publié un nouvel avis de sécurité affectant les CSA versions 5.0.1 et antérieures. Les vulnérabilités CVE-2024-9379 et CVE-2024-9380, combinées à la vulnérabilité CVE-2024-8963 présente sur les CSA versions 4.6 antérieures au correctif 519, permettent d’exécuter du code arbitraire à distance ;
• le 11 octobre 2024 l'éditeur Fortinet a publié un billet de blogue [1] détaillant les exploitations constatées lors d'une opération de réponse à incidents.

L'éditeur a précisé que les vulnérabilités CVE-2024-8190 et CVE-2024-8963 étaient activement exploitées et a connaissance d’un nombre limité d’exploitations des vulnérabilités CVE-2024-9379 et CVE-2024-9380, combinées à la vulnérabilité CVE-2024-8963 sur les CSA en versions antérieures à 5.0 uniquement.

Le CERT-FR a connaissance de plusieurs compromissions dans lesquelles ces vulnérabilités ont été exploitées.

Documentation

• Bulletin de sécurité Ivanti du 10 septembre 2024
• Bulletin de sécurité Ivanti du 19 septembre 2024
• Bulletin de sécurité Ivanti du 10 octobre 2024
• [1] Billet de blogue de FortiGuard Labs Threat Research du 11 octobre 2024
• [2] Les bons réflexes en cas d’intrusion sur un système d’information
• [3] Fiche réflexe Compromission système - Qualification
• [4] Fiche réflexe Compromission système - Endiguement
• Avis CERTFR-2024-AVI-0796 du 20 septembre 2024
• Avis CERTFR-2024-AVI-0851 du 09 octobre 2024
• Bulletin d'actualité CERTFR-2024-ACT-045 du 14 octobre 2024
• Référence CVE CVE-2024-8190
• Référence CVE CVE-2024-8963
• Référence CVE CVE-2024-9380

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-013/