L’Agence américaine de sécurité de la cybersécurité et des infrastructures (CISA) ajouté Cinq défaut de sécurité ayant un impact sur le gestionnaire de points finaux Advantive Veracore et Ivanti (EPM) à ses vulnérabilités exploitées connues (Kev) Catalogue, basé sur des preuves d’exploitation active dans la nature.
La liste des vulnérabilités est la suivante –
- CVE-2024-57968 – Une vulnérabilité de téléchargement de fichiers sans restriction dans Advantive Veracore qui permet à un attaquant non authentifié distant de télécharger des fichiers sur des dossiers involontaires via upload.apsx
- CVE-2025-25181 – Une vulnérabilité d’injection SQL dans Advantive Veracore qui permet à un attaquant distant d’exécuter des commandes SQL arbitraires
- CVE-2024-13159 – Une vulnérabilité de traversée de chemin absolu dans l’EPM Ivanti qui permet à un attaquant non authentifié distant de divulguer des informations sensibles
- CVE-2024-13160 – Une vulnérabilité de traversée de chemin absolu dans l’EPM Ivanti qui permet à un attaquant non authentifié distant de divulguer des informations sensibles
- CVE-2024-13161 – Une vulnérabilité de traversée de chemin absolu dans l’EPM Ivanti qui permet à un attaquant non authentifié distant de divulguer des informations sensibles
L’exploitation des vulnérabilités de Veracore a été attribuée à un acteur de menace vietnamien nommé XE Group, qui a été observé en supprimant les coquilles inversées et les coquilles Web pour maintenir un accès à distance persistant à des systèmes compromis.
D’un autre côté, il n’y a actuellement aucun rapport public sur la façon dont les trois défauts d’EPM Ivanti sont armées dans des attaques réelles. Un exploit de preuve de concept (POC) a été publié par Horizon3.ai le mois dernier. La société de cybersécurité les a décrits comme des bogues de «coercition des informations d’identification» qui pourraient permettre à un attaquant non authentifié de compromettre les serveurs.
À la lumière de l’exploitation active, il est essentiel que les agences fédérales de direction civile (FCEB) appliquent les correctifs nécessaires d’ici le 31 mars 2025.
Le développement intervient alors que la société de renseignement sur les menaces Greynose a averti de l’exploitation de masse du CVE-2024-4577, une vulnérabilité critique ayant un impact sur PHP-CGI, avec des pics d’activité d’attaque ciblant le Japon, Singapour, l’Indonésie, le Royaume-Uni, l’Espagne et l’Inde.
“Plus de 43% des IPS ciblant le CVE-2024-4577 au cours des 30 derniers jours proviennent d’Allemagne et de Chine”, Greynoise ditl’ajout “a détecté une pointe coordonnée dans les tentatives d’exploitation contre les réseaux dans plusieurs pays, suggérant une numérisation automatisée supplémentaire pour des objectifs vulnérables” en février.


