Ivanti alerte sur deux nouvelles failles de haute gravité dans ses produits Connect Secure et Policy Secure, dont l’une aurait fait l’objet d’une exploitation ciblée dans la nature.
La liste des vulnérabilités est la suivante –
- CVE-2024-21888 (score CVSS : 8,8) – Une vulnérabilité d’élévation de privilèges dans le composant Web d’Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x) permet à un utilisateur d’élever ses privilèges à ceux de un administrateur
- CVE-2024-21893 (score CVSS : 8,2) – Une vulnérabilité de falsification de requêtes côté serveur dans le composant SAML d’Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) et Ivanti Neurons pour ZTA permet un attaquant pour accéder à certaines ressources restreintes sans authentification
La société de logiciels basée dans l’Utah dit Jusqu’à présent, il n’a trouvé aucune preuve que les clients aient été touchés par le CVE-2024-21888, mais a reconnu que « l’exploitation du CVE-2024-21893 semble être ciblée ».
Il a en outre noté qu’il « s’attend à ce que l’acteur menaçant change de comportement et nous nous attendons à une forte augmentation de l’exploitation une fois que cette information sera publique ».
Parallèlement à la divulgation publique des deux nouvelles vulnérabilités, Ivanti a publié des correctifs pour les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 de Connect Secure et la version 22.6R1 de ZTA. .3.
« Par prudence, nous recommandons aux clients de réinitialiser leur appareil en usine avant d’appliquer le correctif afin d’empêcher l’acteur malveillant d’obtenir la persistance de la mise à niveau dans votre environnement », indique-t-il. « Les clients doivent s’attendre à ce que ce processus prenne 3 à 4 heures. »
Comme solution temporaire pour résoudre les problèmes CVE-2024-21888 et CVE-2024-21893, il est recommandé aux utilisateurs d’importer le fichier « mitigation.release.20240126.5.xml ».
Le dernier développement intervient alors que deux autres failles du même produit – CVE-2023-46805 et CVE-2024-21887 – ont été largement exploitées par plusieurs acteurs malveillants pour déployer des portes dérobées, des mineurs de cryptomonnaie et un chargeur basé sur Rust appelé KrustyLoader.