Accueil > Alertes du CERT-MC et du CERT-FR > CERTFR-2025-ALE-001_Vulnérabilité dans les produits Ivanti

CERTFR-2025-ALE-001_Vulnérabilité dans les produits Ivanti

Objet

Vulnérabilité dans les produits Ivanti

Référence

CERTFR-2025-ALE-001

Risques

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Neurons for ZTA gateways versions 22.7R2.x antérieures à 22.7R2.5.
  • Policy Secure (IPS) toutes versions 22.7R1.x
  • Connect Secure (ICS) versions 22.7R2.x antérieures à 22.7R2.5

L'éditeur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.

Résumé

Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d'identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Ivanti indique que cette vulnérabilité est activement exploitée.

Solutions

Les étapes suivantes doivent être suivies indépendamment d'une mise à jour précédemment réalisée vers une version corrective. Dans son billet de blogue [3], Mandiant précise avoir observé une compromission du processus de mise à jour de l'équipement.

  • En cas d'utilisation d'une appliance virtuelle, réaliser un instantané ;
  • Exécuter les versions internes et externes du script Integrity Check Tool (ICT) publié par Ivanti :
    • l'éditeur indique que la dernière version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ultérieures. Il est donc nécessaire d'utiliser une version antérieure de l'outil ;
    • il est nécessaire d'exécuter la version externe d'ICT même en cas de résultat négatif de l'outil interne ;
    • dans son billet de blogue [3], Mandiant précise qu'il est nécessaire de vérifier que l'ensemble des étapes de l'outil sont réalisées (dix étapes) et de ne pas se fier uniquement au résultat final présenté.
  • Effectuer une recherche de compromission au niveau de l'équipement :
    • effectuer une recherche sur les indicateurs de compromissions présentés par Mandiant [3] ; Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
    • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
      • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
      • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
    • Si aucune mise à jour correctrice n'est disponible, l'équipement est à risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
    • En cas d'absence de compromission :
      • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
      • surveiller l'activité des comptes et des services liés à l'équipement, notamment le compte de service LDAP, si celui a été configuré.
      • En cas de compromission détectée :
        • signaler l’événement auprès du CERT et consulter les bons réflexes en cas d'intrusion sur votre système d'information [4] ;
        • isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement ;
        • effectuer une remise à la configuration de sortie d'usine (Factory Reset) [1] ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
          • si aucune mise à jour correctrice n'est disponible, contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
      • suivre les étapes listées dans le bulletin technique d'Ivanti [2] et en particulier :
        • révoquer et réémettre tous les certificats présents sur les équipements affectés :
          • certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
          • certificats de signature de code et les certificats TLS pour l’interface exposée.
        • réinitialiser le mot de passe d'administration ;
        • réinitialiser les clés d’API stockées sur l’équipement ;
        • réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;
          • révoquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilisés.
        • réinitialiser les authentifications des serveurs de licence.

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-ALE-001/

CERTFR-2025-ALE-002_Vulnérabilité dans les produits Fortinet

17 janvier 2025
actualite

ObjetVulnérabilité dans les produits FortinetRéférenceCERTFR-2025-ALE-002Risques Exécution de code arbitraire à distance Contournement de la pol... Lire la suite[+]

CERTFR-2024-ALE-015_Vulnérabilité sur l'interface de management des équipements Palo Alto Networks

18 novembre 2024
actualite

ObjetVulnérabilité sur l'interface de management des équipements Palo Alto NetworksRéférenceCERTFR-2024-ALE-015Risques Exécution de code arbitrai... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/CERTFR-2025-ALE-001_Vulnerabilite-dans-les-produits-Ivanti