L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié vendredi un directive d’urgence exhortant les agences du Federal Civilian Executive Branch (FCEB) à mettre en œuvre des mesures d’atténuation contre deux failles zero-day activement exploitées dans les produits Ivanti Connect Secure (ICS) et Ivanti Policy Secure (IPS).
Ce développement est intervenu après que les vulnérabilités – un contournement d’authentification (CVE-2023-46805) et un bug d’injection de code (CVE-2024-21887) – aient été largement exploitées par plusieurs acteurs malveillants. Les failles permettent à un acteur malveillant de créer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système.
La société américaine reconnu dans un avis, il a été témoin d’une « forte augmentation de l’activité des acteurs menaçants » à partir du 11 janvier 2024, après que les lacunes ont été révélées publiquement.
« Une exploitation réussie des vulnérabilités de ces produits concernés permet à un acteur malveillant de se déplacer latéralement, d’effectuer une exfiltration de données et d’établir un accès persistant au système, ce qui entraîne une compromission complète des systèmes d’information cibles », a déclaré l’agence. dit.
Ivanti, qui devrait publier une mise à jour pour corriger les failles la semaine prochaine, a mis à disposition une solution de contournement temporaire via un fichier XML qui peut être importé dans les produits concernés pour apporter les modifications de configuration nécessaires.
La CISA exhorte les organisations exécutant ICS à appliquer les mesures d’atténuation et à exécuter un outil de vérification de l’intégrité externe pour identifier les signes de compromission et, le cas échéant, à les déconnecter des réseaux et à réinitialiser l’appareil, puis à importer le fichier XML.
Par ailleurs, les entités FCEB sont exhorté pour révoquer et réémettre tous les certificats stockés, réinitialiser le mot de passe d’activation de l’administrateur, stocker les clés API et réinitialiser les mots de passe de tout utilisateur local défini sur la passerelle.
Les sociétés de cybersécurité Volexity et Mandiant ont observé des attaques exploitant les deux failles pour déployer des shells Web et des portes dérobées passives pour un accès persistant aux appareils compromis. On estime qu’à ce jour, jusqu’à 2 100 appareils dans le monde ont été compromis.
La première vague d’attaques identifiée en décembre 2023 a été attribuée à un groupe d’État-nation chinois suivi sous le nom d’UTA0178. Mandiant garde un œil sur cette activité sous le nom d’UNC5221, bien qu’elle n’ait été liée à aucun groupe ou pays spécifique.
La société de renseignement sur les menaces GreyNoise a déclaré avoir également observé les vulnérabilités sont exploitées pour supprimer les portes dérobées persistantes et les mineurs de crypto-monnaie XMRig, indiquant une exploitation opportuniste par de mauvais acteurs à des fins financières.