CERTFR-2025-ALE-001_Vulnérabilité dans les produits Ivanti

ALERTE CERT
CERT-FR

Publié le 9 janvier 2025 à 12h00 - Mis à jour le 19 février 2025 à 17h16

Objet

Vulnérabilité dans les produits Ivanti

Référence

CERTFR-2025-ALE-001

Risques

Exécution de code arbitraire à distance

Systèmes affectés

  • Neurons for ZTA gateways versions 22.7R2.x antérieures à 22.7R2.5.
  • Policy Secure (IPS) toutes versions 22.7R1.x
  • Connect Secure (ICS) versions 22.7R2.x antérieures à 22.7R2.5

L'éditeur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.

Résumé

Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d'identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Ivanti indique que cette vulnérabilité est activement exploitée.

Solutions

Les étapes suivantes doivent être suivies indépendamment d'une mise à jour précédemment réalisée vers une version corrective. Dans son billet de blogue [3], Mandiant précise avoir observé une compromission du processus de mise à jour de l'équipement.

  • En cas d'utilisation d'une appliance virtuelle, réaliser un instantané ;
  • Exécuter les versions internes et externes du script Integrity Check Tool (ICT) publié par Ivanti :
    • l'éditeur indique que la dernière version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ultérieures. Il est donc nécessaire d'utiliser une version antérieure de l'outil ;
    • il est nécessaire d'exécuter la version externe d'ICT même en cas de résultat négatif de l'outil interne ;
    • dans son billet de blogue [3], Mandiant précise qu'il est nécessaire de vérifier que l'ensemble des étapes de l'outil sont réalisées (dix étapes) et de ne pas se fier uniquement au résultat final présenté.
  • Effectuer une recherche de compromission au niveau de l'équipement :
    • effectuer une recherche sur les indicateurs de compromissions présentés par Mandiant [3] ; Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
    • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
      • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
      • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
    • Si aucune mise à jour correctrice n'est disponible, l'équipement est à risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
    • En cas d'absence de compromission :
      • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
      • surveiller l'activité des comptes et des services liés à l'équipement, notamment le compte de service LDAP, si celui a été configuré.
      • En cas de compromission détectée :
        • signaler l’événement auprès du CERT et consulter les bons réflexes en cas d'intrusion sur votre système d'information [4] ;
        • isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement ;
        • effectuer une remise à la configuration de sortie d'usine (Factory Reset) [1] ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
          • si aucune mise à jour correctrice n'est disponible, contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
      • suivre les étapes listées dans le bulletin technique d'Ivanti [2] et en particulier :
        • révoquer et réémettre tous les certificats présents sur les équipements affectés :
          • certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
          • certificats de signature de code et les certificats TLS pour l’interface exposée.
        • réinitialiser le mot de passe d'administration ;
        • réinitialiser les clés d’API stockées sur l’équipement ;
        • réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;
          • révoquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilisés.
        • réinitialiser les authentifications des serveurs de licence.

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-ALE-001/