Accueil > Alertes du CERT-MC et du CERT-FR > Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways

Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways

Référence : CERTFR-2024-ALE-001

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité

Systèmes affectés

- Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions
- Ivanti Policy Secure gateways (IPS) toutes versions
- Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connecté à un contrôleur ZTA

Résumé

Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits ICS et IPS car ils sont affectés par deux vulnérabilités critiques.

La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.

Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d'attaques ciblées. Selon l'éditeur, une dizaine d'équipements ont été compromis.

Les correctifs ne sont pas disponibles pour l'instant. Leurs publications sont prévues, pour les versions 9.x et 22.x, entre les semaines du 22 janvier et du 19 février 2024.

Contournement provisoire

Dans l'attente des correctifs, Ivanti met des mesures de contournement à disposition sous la forme d'un fichier XML à importer, mitigation.release.20240107.1.xml.

Le CERT-FR recommande d'appliquer ces mesures dans les plus brefs délais.

Selon l'éditeur, ces mesures empêchent l'exploitation des vulnérabilités mais affectent certaines fonctionnalités (se référer au bulletin de sécurité de l'éditeur, cf. Resolution/Impact).

Ivanti déclare ne pas avoir testé ces mesures sur les équipements qui ne sont plus supportés, mais qui sont néanmoins vulnérables.

De plus, l'éditeur recommande à ses clients d'utiliser l'outil de vérification d'intégrité (Ivanti integrity checker, ICT) externe car l'éditeur a constaté des tentatives de manipulations de l'ICT interne par les attaquants. L'éditeur indique par ailleurs que l'utilisation de l'ICT externe déclenche le redémarrage de l'équipement.

Le CERT-FR conseille de suivre les recommandations de l'éditeur et d'appliquer les correctifs dans les plus brefs délais lorsque ceux-ci seront disponibles.

Documentation

Bulletin de sécurité Ivanti 000090123 du 10 janvier 2024
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways  
Billet de blogue Volexity du 10 janvier 2024
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/  
Référence CVE CVE-2023-46805
https://www.cve.org/CVERecord?id=CVE-2023-46805  
Référence CVE CVE-2024-21887
https://www.cve.org/CVERecord?id=CVE-2024-21887  

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-001/

CERTFR-2024-ALE-005_Vulnerabilite dans Microsoft Outlook

15 février 2024
actualite

Objet : Vulnérabilité dans Microsoft OutlookRéférence : CERTFR-2024-ALE-005Risque(s) - Exécution de code arbitraire à distance- Atteinte à la confi... Lire la suite[+]

CERTFR-2024-ALE-004_Vulnerabilite dans Fortinet FortiOS

09 février 2024
actualite

Objet : Vulnérabilité dans Fortinet FortiOSRéférence : CERTFR-2024-ALE-004Risque(s)- Exécution de code arbitraire à distanceSystèmes affectés - For... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/Multiples-vulnerabilites-dans-Ivanti-Connect-Secure-et-Policy-Secure-Gateways