Support technique
Documentation
Connexion
Nous contacter
Ces derniers temps, le paysage de la cybersécurité a connu une recrudescence des menaces visant les solutions Ivanti Connect Secure et Ivanti Policy Secure. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a tiré la sonnette d'alarme, soulignant l'exploitation active et généralisée des vulnérabilités de ces solutions Ivanti, ce qui représente un risque imminent pour les agences du pouvoir exécutif civil fédéral (FCEB).
Vulnérabilités des produits Ivanti
Les vulnérabilités en question, à savoir CVE-2023-46805 et CVE-2024-21887, constituent une menace sérieuse pour la sécurité des systèmes d'information. CVE-2023-46805, identifiée dans le composant web d'Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure, permet à un attaquant distant de contourner les contrôles d'authentification, ce qui peut conduire à un accès non autorisé à des ressources restreintes.
D'autre part, CVE-2024-21887 est une vulnérabilité par injection de commande trouvée dans les composants web des mêmes solutions Ivanti. Cette vulnérabilité, exploitable via Internet, permet à un administrateur authentifié d'exécuter des commandes arbitraires sur les produits concernés, créant ainsi une passerelle pour des activités malveillantes.
Lorsque ces vulnérabilités sont exploitées conjointement, un acteur malveillant acquiert la capacité d'exécuter des commandes arbitraires sur un produit vulnérable. Il peut en résulter un déplacement latéral dans le système, l'exfiltration de données et l'établissement d'un accès persistant, ce qui conduit finalement à la compromission totale des systèmes d'information ciblés.
Atténuer les vulnérabilités d'Ivanti
Consciente de la gravité de la situation, Ivanti a agi rapidement en publiant des informations cruciales le 10 janvier 2024. L'entreprise a divulgué des détails sur les vulnérabilités et a fourni une atténuation temporaire sous la forme d'un fichier XML. Ce fichier peut être importé dans les produits concernés afin d'apporter les modifications de configuration nécessaires jusqu'à ce qu'une mise à jour permanente soit disponible.
Les organisations doivent prendre des mesures proactives pour sécuriser leurs solutions Ivanti. Au-delà du correctif temporaire fourni par Ivanti, les mesures suivantes doivent être envisagées :
Mises à jour régulières et gestion des correctifs
Veillez à ce que vos solutions Ivanti soient régulièrement mises à jour avec les derniers correctifs et mises à jour de sécurité, car les mises à jour en temps opportun jouent un rôle crucial dans l'atténuation des vulnérabilités potentielles.
Segmentation du réseau
Mettez en œuvre la segmentation du réseau pour limiter les mouvements latéraux des attaquants au sein de votre système. Cela permet de limiter l'impact d'une violation potentielle et d'empêcher l'accès non autorisé à des ressources critiques.
Surveillance continue et réponse aux incidents
Utiliser des outils de surveillance robustes pour détecter toute activité inhabituelle et y répondre rapidement. Un plan proactif de réponse aux incidents garantit une réaction rapide et efficace aux incidents de sécurité.
Conclusion
L'exploitation active de vulnérabilités dans les solutions Ivanti Connect Secure et Ivanti Policy Secure souligne l'importance cruciale de la cybersécurité pour les organisations, en particulier celles du pouvoir exécutif civil fédéral. En restant informées de la nature de ces vulnérabilités et en mettant en œuvre des stratégies d'atténuation efficaces, les organisations peuvent renforcer leur défense contre les menaces potentielles et assurer la sécurité de leurs systèmes d'information.
Les sources de cet article comprennent un article de la CISA.
