Ivanti, dont les produits ont récemment été une cible importante pour les attaquants, a révélé deux autres vulnérabilités critiques dans ses technologies, soulevant ainsi davantage de questions sur la sécurité de ses produits.
L'un des défauts, suivi comme CVE-2023-41724 (score de gravité de vulnérabilité CVSS de 9.6 sur 10) est une vulnérabilité d'exécution de code à distance dans Ivanti Standalone Sentry que les chercheurs du Centre de cybersécurité de l'OTAN ont signalée à l'entreprise.
La deuxième faille révélée par Ivanti cette semaine est CVE-2023-46808 (score CVSS de 9.9) dans Ivanti Neurons pour la gestion des services informatiques (ITSM).
Bogues de gravité critique
La faille Standalone Sentry, qui impacte toutes les versions supportées de la technologie (9.17.0, 9.18.0 et 9.19.0), permet à un attaquant non authentifié d'exécuter du code arbitraire sur le système d'exploitation sous-jacent. Selon Ivanti, les anciennes versions de Standalone Sentry sont également menacées.
Jusqu’à présent, le fournisseur a déclaré n’avoir vu aucune preuve que des acteurs malveillants exploitaient la faille dans la nature. « Les acteurs malveillants ne disposant pas d'un certificat client TLS valide inscrit via EPMM ne peuvent pas exploiter directement ce problème sur Internet », a déclaré Ivanti.
La vulnérabilité de Neurons for ITSM donne à un attaquant distant authentifié un moyen d'écrire ou de télécharger des fichiers sur le serveur ITSM et d'y exécuter du code arbitraire. Comme pour la faille RCE dans Standalone Sentry, Ivanti a déclaré n'avoir vu aucun signe d'activité d'exploitation jusqu'à présent.
Ivanti a publié des versions mises à jour des produits concernés pour remédier à chaque vulnérabilité. La société a déclaré avoir pris connaissance des deux failles – et leur avoir réservé un numéro CVE – à la fin de l’année dernière, c’est pourquoi les vulnérabilités ont un numéro CVE 2023. « La politique d'Ivanti est que lorsqu'un CVE n'est pas exploité activement, nous divulguons la vulnérabilité lorsqu'un correctif est disponible, afin que les clients disposent des outils dont ils ont besoin pour protéger leur environnement », a noté la société.
Pire encore un mauvais bilan
Depuis janvier, la société a tenu les administrateurs de sécurité occupés avec un flux constant de failles dans ses produits, sur lesquelles les acteurs malveillants n'ont pas tardé à se jeter dans plusieurs cas. Un exemple typique est «Aimant Gobelin« un acteur malveillant motivé par des raisons financières qui a été parmi les plus rapides à exploiter CVE-2024-21887, une vulnérabilité d'injection de commandes dans les passerelles Ivanti Connect Secure et Policy Secure.
Le défaut était l'un des deux jours zéro qu'Ivanti a divulgué début janvier dans la technologie d'accès à distance sécurisé – l'autre était CVE-2023-46805 – mais pour lequel la société n'a publié de correctif que des semaines plus tard. Au cours de cette période, de nombreux groupes de menaces, y compris des acteurs de menaces persistantes avancées basés en Chine, tels que UNC5221, alias UTA0178, ont activement exploité les bogues lors d'attaques massives dans le monde entier.
Alors même que les administrateurs aux prises avec des difficultés luttaient pour corriger ces deux failles initiales, Ivanti a révélé fin janvier deux autres bugs dans sa technologie Connect Secure VPN : CVE-2024-21888 et CVE-2024-21893, ce dernier étant un bug du jour zéro en cours d'exploitation active au moment de la divulgation. Moins de deux semaines plus tard, la société a révélé une autre faille : CVE-2024-22024 — dans ses technologies Ivanti Connect Secure et Ivanti Pulse Secure, que les attaquants n'ont là encore pas tardé à exploiter.
Les bugs apparemment incessants dans les produits Ivanti — et le risque qu'ils représentent pour les clients du fournisseur, dont certains comprennent de très grandes entreprises — ont, comme on pouvait s'y attendre, a entaché sa réputation selon certains chercheurs au sein de la communauté. Certains ont même décrit les failles – et la lenteur avec laquelle l’entreprise y répond – comme constituant une menace existentielle pour les entreprises.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/ivanti-security-teams-scrambling-2-vulns
- :possède
- :est
- :ne pas
- 10
- 17
- 19
- 2%
- 2023
- 6
- 9
- a
- capacité
- Qui sommes-nous
- accès
- Selon
- infection
- activement
- activité
- acteur
- acteurs
- propos
- administrateurs
- Avancée
- menace persistante avancée
- affecté
- encore
- aka
- Tous
- permet
- aussi
- parmi
- an
- ainsi que les
- Une autre
- tous
- arbitraire
- SONT
- AS
- At
- attaquant
- attaquants
- Attaques
- authentifié
- disponibles
- Mal
- était
- Big
- tous les deux
- Punaise
- bogues
- entreprises
- occupé
- mais
- ne peut pas
- maisons
- Canaux centraux
- certificat
- client
- code
- Communautés
- Société
- NOUS CONTACTER
- critique
- Clients
- cve
- cyber
- la cyber-sécurité
- décrit
- DID
- directement
- Divulguer
- divulgation
- pendant
- chacun
- "Early Bird"
- inscrit
- Environment
- Ether (ETH)
- Pourtant, la
- preuve
- exécuter
- exécution
- existentiel
- Exploiter
- exploitation
- Exploités
- exploitant
- loin
- le plus rapide
- Fichiers
- financièrement
- Fixer
- défaut
- défauts
- Pour
- de
- Gain
- passerelles
- donne
- Groupes
- Vous avez
- HTTPS
- Impacts
- in
- comprendre
- Y compris
- initiale
- cas
- Internet
- aide
- Publié
- IT
- Service informatique
- SES
- Ivanti
- Janvier
- jpg
- conservé
- gros
- Nom de famille
- L'année dernière
- En retard
- plus tard
- dernier
- savant
- moins
- Fabrication
- gestion
- Masse
- PLUS
- motivés
- Besoin
- Neurones
- aucune
- noté
- nombre
- nombreux
- of
- plus
- on
- une fois
- ONE
- d'exploitation
- le système d'exploitation
- or
- Autre
- ande
- Pièce
- période
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- politique
- poser
- processus
- Produits
- protéger
- impulsion
- fréquemment posées
- Rapide
- élevage
- récemment
- record
- relativement
- éloigné
- accès à distance
- Signalé
- réputation
- chercheurs
- réservé
- réponses
- Analyse
- s
- Saïd
- But
- Deuxièmement
- sécurisé
- sécurité
- apparemment
- vu
- serveur
- service
- plusieurs
- gravité
- Signes
- lent
- So
- jusqu'à présent
- quelques
- autonome
- stable
- courant
- tel
- Appareils
- combustion propre
- Target
- équipes
- Les technologies
- Technologie
- que
- qui
- Les
- la sécurité
- leur
- Les
- l'ont
- this
- cette semaine
- ceux
- menace
- acteurs de la menace
- Avec
- fiable
- TLS
- à
- les outils
- suivre
- bilan
- suivi
- deux
- sous
- sous-jacent
- jusqu'à
- a actualisé
- sur
- Info de contact.
- vendeur
- versions
- très
- VPN
- vulnérabilités
- vulnérabilité
- était
- Façon..
- we
- semaine
- Semaines
- ont été
- quand
- qui
- qui
- dont
- why
- Sauvage
- comprenant
- dans les
- sans
- partout dans le monde
- pire
- écrire
- an
- encore
- zéphyrnet
- bug du jour zéro
