Les cordonniers sont souvent les plus mal chaussés. C'est ce qui vient de se passer avec la CISA, l'agence nationale de la sécurité des systèmes d'information américaine - équivalente de notre Anssi - qui a été victime d'exploitation de failles. Pas n'importe lesquelles puisqu'elles sont par ailleurs déjà bien connues et identifiées puisqu'il s'agit de vulnérabilités affectant des solutions d'Ivanti dont on ne compte plus le nombre de failles critiques touchant les produits de cet éditeur.

Les pirates ont compromis les systèmes de la CISA en février dernier. L'agence a confirmé l'information à The Record qui a identifié une activité indiquant l'exploitation de vulnérabilités dans des produits Ivanti utilisés. « L'impact s'est limité à deux systèmes, que nous avons immédiatement mis hors ligne. Nous continuons à mettre à niveau et à moderniser nos systèmes, et il n'y a pas d'impact opérationnel pour le moment », a déclaré un porte-parole de l'agence.

Une alerte de la CISA sur des failles Ivanti le 29 février

Selon une source proche du dossier, les deux systèmes compromis sont une passerelle Infrastructure Protection (IP) contenant des informations essentielles sur l'interdépendance des infrastructures américaines, ainsi que le Chemical Security Assessment Tool (CSAT) contenant les plans de sécurité chimique du secteur privé. La CISA n'a pas confirmé que ces deux systèmes piratés avaient été compromis. 

Le 29 février dernier, l'agence américaine publiait justement un avertissement sur l'exploitation par des acteurs malveillants de failles Ivanti précédemment identifiées concernant les passerelles Connect et Policy Secure (CVE-2023-46805, CVE-2024-21887 et CVE-2024-21893). En matière d'exploit de failles Ivanti, la CISA apparait effectivement bien placée pour parler du sujet.