Sale temps pour Ivanti et ses produits de sécurité. En effet, quelques jours après l’annonce par l’éditeur de la disponibilité de correctifs pour une faille découverte dans ses solutions Connect Secure et Policy Secure (son VPN SSL), une autre brèche a été découverte et les attaquants s’y intéressent de très prés. Il s’agit de la vulnérabilité CVE-2024-22024 entraînant une injection d'entité externe XML (External Entity Injection, XXE) dans le composant SAML de certaines versions de Connect Secure, Policy Secure et ZTA.

La faille a été découverte par des chercheurs de la société wtachTowr en analysant le correctif pour la vulnérabilité CVE-2024-21893. Celle-ci provoque une falsification de requêtes côté serveur ou Server-Side Request Forgery (SSRF) dans le composant SAML. Le 31 janvier, Ivanti avait révélé que cette faille zero day, découverte par l’entreprise alors qu’elle enquêtait sur deux autres vulnérabilités zero day annoncées le 10 janvier et exploitées par un groupe chinois de menaces persistantes avancées (APT), était exploitée dans des attaques ciblées. En réponse à ces attaques, Ivanti a d'abord publié une mesure d'atténuation basée sur XML applicable aux terminaux concernés le temps de préparer des mises à jour pour toutes les versions logicielles concernées.

Des mises à jour disponibles

Les mises à jour pour les quatre vulnérabilités connues - CVE-2023-46805 (contournement de l'authentification), CVE-2024-21887 (injection de commande), CVE-2024-21888 (élévation de privilèges) et CVE-2024-21893 (SSRF dans le composant SAML) - ont finalement été publiées le 31 janvier et le 1ᵉʳ février. Les mises à jour pour la récente faille CVE-2024-22024 (injection XXE) ont été publiées le 8 février. Selon Ivanti, ces mises à jour remplacent les précédentes. L’entreprise indique par ailleurs que les clients qui ont réinitialisé leurs terminaux lors de l'application des correctifs du 31 janvier et du 1ᵉʳ février n'ont pas besoin de le faire à nouveau après l'application des mises à jour du 8 février.

La réinitialisation d'usine était nécessaire pour supprimer tous les implants potentiels et les modifications apportées par les attaquants à l'aide des exploits précédents. « Nous conseillons vivement aux clients d'utiliser l'outil de vérification de l'intégrité externe d'Ivanti, publié précédemment, en combinaison avec les meilleures pratiques de surveillance de la sécurité », a recommandé l'entreprise dans un billet de blog. Les vulnérabilités d'injection XXE permettent aux attaquants d'injecter des entités XML dangereuses dans des applications web qui traitent des données XML. Les chercheurs de watchTowr précisent que la faille CVE-2024-22024 a été introduite par l'un des correctifs pour les vulnérabilités précédentes, ce qui explique pourquoi elle n'affecte que certaines versions récentes des produits. Selon Ivanti, les versions concernées sont les suivantes : Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, et 22.5R2.2 ; Ivanti Policy Secure 22.5R1.1 ; et ZTA 22.6R1.3.

Des tentatives d'exploitation de la vulnérabilité

À la suite du rapport de watchTowr et de l'avis d'Ivanti, un PoC a été développé et publié en ligne au cours du week-end. Depuis, plusieurs services et entreprises qui gèrent des pots de miel et surveillent le trafic Internet malveillant ont signalé des recherches de la vulnérabilité et des tentatives d'exploitation. « Le 9 février, soit peu de temps après la publication du PoC, nous avons repéré des tentatives d'exploitation de '/dana-na/auth/saml-sso.cgi' », a déclaré la Shadowserver Foundation sur Twitter. « Il s'agit principalement de tests de rappel. 47 adresses IP ont été observées à ce jour ».

De son côté, Akamai dit avoir constaté des tentatives de scan et de charge utile pour cette faille en provenance de plus de 80 adresses IP et ciblant plus de 30 000 hôtes. La semaine dernière, dans une directive actualisée, la CISA a demandé à toutes les agences fédérales de déconnecter de leurs réseaux les produits Ivanti concernés avant le vendredi 2 février à minuit, et de procéder à des analyses forensiques supplémentaires et à des mesures de nettoyage au cas où leurs réseaux auraient déjà été compromis. Et vendredi dernier, l'agence a publié une directive supplémentaire demandant à toutes les agences d'appliquer les nouveaux correctifs Ivanti pour la faille CVE-2024-22024 avant le lundi 12 février.