[MàJ] Vulnérabilité dans les produits Ivanti
Alerte Cyber

[MàJ] Vulnérabilité dans les produits Ivanti

artia13 19 Views

L’éditeur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.

Résumé

Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d’identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Ivanti indique que cette vulnérabilité est activement exploitée.

Solutions

[Mise à jour du 01 avril 2025]

La CISA [5] fournit des indicateurs de compromission ainsi qu’une règle de détection YARA, servant à déterminer si un équipement est compromis par le maliciel RESURGE.
Note : Ces éléments n’ont pas été qualifiés par le CERT-FR.

[Mise à jour du 14 janvier 2025]

L’éditeur a indiqué avoir publié une nouvelle version externe de l’outil Integrity Check Tool, ICT-V22725 (build 3819), compatible avec les versions 22.x R2.

[Publication initiale]

Les étapes suivantes doivent être suivies indépendamment d’une mise à jour précédemment réalisée vers une version corrective. Dans son billet de blogue [3], Mandiant précise avoir observé une compromission du processus de mise à jour de l’équipement.

  • En cas d’utilisation d’une appliance virtuelle, réaliser un instantané ;

  • Exécuter les versions internes et externes du script Integrity Check Tool (ICT) publié par Ivanti :

    • l’éditeur indique que la dernière version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ultérieures. Il est donc nécessaire d’utiliser une version antérieure de l’outil ;
    • il est nécessaire d’exécuter la version externe d’ICT même en cas de résultat négatif de l’outil interne ;
    • dans son billet de blogue [3], Mandiant précise qu’il est nécessaire de vérifier que l’ensemble des étapes de l’outil sont réalisées (dix étapes) et de ne pas se fier uniquement au résultat final présenté.

  • Effectuer une recherche de compromission au niveau de l’équipement :

    • effectuer une recherche sur les indicateurs de compromissions présentés par Mandiant [3] ;
      Note : Ces indicateurs n’ont pas été qualifiés par le CERT-FR.
    • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :

      • en cherchant les connexions ou tentatives de connexion vers Internet depuis l’équipement ;
      • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.

  • Si aucune mise à jour correctrice n’est disponible, l’équipement est à risque de compromission; contactez le service d’assistance Ivanti et, dans la mesure du possible, déconnectez l’équipement d’Internet.

  • En cas d’absence de compromission :

    • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
    • surveiller l’activité des comptes et des services liés à l’équipement, notamment le compte de service LDAP, si celui a été configuré.

  • En cas de compromission détectée :

    • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d’intrusion sur votre système d’information [4] ;
    • isoler l’équipement du réseau et sauvegarder les journaux liés à l’équipement ;
    • effectuer une remise à la configuration de sortie d’usine (Factory Reset) [1] ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;

      • si aucune mise à jour correctrice n’est disponible, contactez le service d’assistance Ivanti et, dans la mesure du possible, déconnectez l’équipement d’Internet.
    • suivre les étapes listées dans le bulletin technique d’Ivanti [2] et en particulier :

      • révoquer et réémettre tous les certificats présents sur les équipements affectés :

        • certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
        • certificats de signature de code et les certificats TLS pour l’interface exposée.
      • réinitialiser le mot de passe d’administration ;
      • réinitialiser les clés d’API stockées sur l’équipement ;
      • réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;

        • révoquer l’ensemble des moyens d’authentification (tickets Kerberos…) des comptes de services utilisés.
      • réinitialiser les authentifications des serveurs de licence.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4852 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

884 000 cartes bancaires volées : Magic Cat, le logiciel de phishing qui industrialise l’arnaque au SMS

884 000 cartes bancaires volées : Magic Cat, le logiciel de phishing qui industrialise l’arnaque au SMS

artia13
Certification ISO 27001 : Un audit sans aucune non-conformité !

Certification ISO 27001 : Un audit sans aucune non-conformité !

artia13
Avis Proton VPN (2025) : notre test du VPN engagé dans la défense de votre vie privée

Avis Proton VPN (2025) : notre test du VPN engagé dans la défense de votre vie privée

artia13