06 février 2024RédactionCybersécurité / Vulnérabilité

Une falsification de requête côté serveur récemment révélée (SSRF) la vulnérabilité affectant les produits Ivanti Connect Secure et Policy Secure a été exploitée à grande échelle.

La Fondation Shadowserver dit elle a observé des tentatives d’exploitation provenant de plus de 170 adresses IP uniques visant, entre autres, à établir un reverse shell.

Les attaques exploitent CVE-2024-21893 (score CVSS : 8,2), une faille SSRF dans le composant SAML d’Ivanti Connect Secure, Policy Secure et Neurons pour ZTA qui permet à un attaquant d’accéder à des ressources autrement restreintes sans authentification.

Ivanti avait précédemment révélé que la vulnérabilité avait été exploitée dans des attaques ciblées visant un « nombre limité de clients », mais a averti que le statu quo pourrait changer après la divulgation publique.

La cyber-sécurité

C’est exactement ce qui semble s’être produit, surtout après la libérer d’un exploit de preuve de concept (PoC) par la société de cybersécurité Rapid7 la semaine dernière.

Le PoC implique la création d’une chaîne d’exploitation combinant CVE-2024-21893 avec CVE-2024-21887, une faille d’injection de commandes précédemment corrigée, pour permettre l’exécution de code à distance non authentifié.

Il convient de noter ici que CVE-2024-21893 est un alias pour CVE-2023-36661 (score CVSS : 7,5), une vulnérabilité SSRF présente dans la bibliothèque open source Shibboleth XMLTooling. Ce problème a été corrigé par les responsables en juin 2023 avec la sortie de version 3.2.4.

Will Dormann, chercheur en sécurité plus loin a souligné d’autres composants open source obsolètes utilisés par les appliances Ivanti VPN, tels que curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 et décompressez 6.00, ouvrant ainsi la porte à davantage d’attaques.

Cette évolution intervient alors que les acteurs malveillants ont trouvé un moyen de contourner l’atténuation initiale d’Ivanti, ce qui a incité la société basée dans l’Utah à publier un deuxième fichier d’atténuation. Depuis le 1er février 2024, la société a commencé à publier des correctifs officiels pour corriger toutes les vulnérabilités.

La cyber-sécurité

La semaine dernière, Mandiant, propriété de Google, a révélé que plusieurs acteurs malveillants exploitaient CVE-2023-46805 et CVE-2024-21887 pour déployer une gamme de shells Web personnalisés suivis comme BUSHWALK, CHAINLINE, FRAMESTING et LIGHTWIRE.

Unité 42 de réseaux de Palo Alto dit il a observé 28 474 instances exposées d’Ivanti Connect Secure et Policy Secure dans 145 pays entre le 26 et le 30 janvier 2024, avec 610 instances compromises détectées dans 44 pays au 23 janvier 2024.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57