CERTFR-2025-ALE-001_Vulnérabilité dans les produits Ivanti
Objet
Vulnérabilité dans les produits Ivanti
Référence
CERTFR-2025-ALE-001
Risques
- Exécution de code arbitraire à distance
Systèmes affectés
- Neurons for ZTA gateways versions 22.7R2.x antérieures à 22.7R2.5.
- Policy Secure (IPS) toutes versions 22.7R1.x
- Connect Secure (ICS) versions 22.7R2.x antérieures à 22.7R2.5
L'éditeur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.
Résumé
Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d'identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Ivanti indique que cette vulnérabilité est activement exploitée.
Solutions
Les étapes suivantes doivent être suivies indépendamment d'une mise à jour précédemment réalisée vers une version corrective. Dans son billet de blogue [3], Mandiant précise avoir observé une compromission du processus de mise à jour de l'équipement.
- En cas d'utilisation d'une appliance virtuelle, réaliser un instantané ;
- Exécuter les versions internes et externes du script Integrity Check Tool (ICT) publié par Ivanti :
- l'éditeur indique que la dernière version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ultérieures. Il est donc nécessaire d'utiliser une version antérieure de l'outil ;
- il est nécessaire d'exécuter la version externe d'ICT même en cas de résultat négatif de l'outil interne ;
- dans son billet de blogue [3], Mandiant précise qu'il est nécessaire de vérifier que l'ensemble des étapes de l'outil sont réalisées (dix étapes) et de ne pas se fier uniquement au résultat final présenté.
- Effectuer une recherche de compromission au niveau de l'équipement :
- effectuer une recherche sur les indicateurs de compromissions présentés par Mandiant [3] ; Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
- rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
- en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
- puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
- Si aucune mise à jour correctrice n'est disponible, l'équipement est à risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
- En cas d'absence de compromission :
- procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
- surveiller l'activité des comptes et des services liés à l'équipement, notamment le compte de service LDAP, si celui a été configuré.
- En cas de compromission détectée :
- signaler l’événement auprès du CERT et consulter les bons réflexes en cas d'intrusion sur votre système d'information [4] ;
- isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement ;
- effectuer une remise à la configuration de sortie d'usine (Factory Reset) [1] ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
- si aucune mise à jour correctrice n'est disponible, contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
- suivre les étapes listées dans le bulletin technique d'Ivanti [2] et en particulier :
- révoquer et réémettre tous les certificats présents sur les équipements affectés :
- certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
- certificats de signature de code et les certificats TLS pour l’interface exposée.
- réinitialiser le mot de passe d'administration ;
- réinitialiser les clés d’API stockées sur l’équipement ;
- réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;
- révoquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilisés.
- réinitialiser les authentifications des serveurs de licence.
- révoquer et réémettre tous les certificats présents sur les équipements affectés :
Documentation
- Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283
- Bulletin de sécurité Ivanti security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways
- CVE-2025-0282