L’alliance de renseignement Five Eyes (FVEY) a publié un nouvel avis de cybersécurité avertissant les auteurs de cybermenaces d’exploiter des failles de sécurité connues dans les passerelles Ivanti Connect Secure et Ivanti Policy Secure, notant que l’outil de vérification d’intégrité (ICT) peut être trompé pour donner une fausse impression. de sécurité.
« Ivanti ICT n’est pas suffisant pour détecter les compromissions et pour qu’un acteur de cybermenace puisse obtenir une persistance au niveau racine malgré la réinitialisation des paramètres d’usine », ont déclaré les agences. dit.
À ce jour, Ivanti a divulgué cinq vulnérabilités de sécurité affectant ses produits depuis le 10 janvier 2024, parmi lesquelles quatre ont été activement exploitées par plusieurs acteurs malveillants pour déployer des logiciels malveillants :
- CVE-2023-46805 (score CVSS : 8,2) – Vulnérabilité de contournement d’authentification dans le composant Web
- CVE-2024-21887 (score CVSS : 9,1) – Vulnérabilité d’injection de commande dans le composant Web
- CVE-2024-21888 (score CVSS : 8,8) – Vulnérabilité d’élévation de privilèges dans un composant Web
- CVE-2024-21893 (score CVSS : 8,2) – Vulnérabilité SSRF dans le composant SAML
- CVE-2024-22024 (score CVSS : 8,3) – Vulnérabilité XXE dans le composant SAML
Mandiant, dans une analyse publiée cette semaine, a décrit comment une version cryptée du malware connue sous le nom de BUSHWALK est placée dans un répertoire exclu par ICT dans /data/runtime/cockpit/diskAnalysis.
Les exclusions de répertoires ont également été précédemment soulignées par Eclypsium ce mois-ci, déclarant que l’outil évite l’analyse d’une douzaine de répertoires, permettant ainsi à un attaquant de laisser derrière lui des portes dérobées dans l’un de ces chemins tout en réussissant le contrôle d’intégrité.
« La ligne de conduite la plus sûre pour les défenseurs des réseaux est de supposer qu’un acteur malveillant sophistiqué peut déployer une persistance au niveau du rootkit sur un appareil qui a été réinitialisé et est resté inactif pendant une durée arbitraire », ont déclaré des agences d’Australie, du Canada, de Nouvelle-Zélande et du Royaume-Uni. , et les États-Unis ont dit.
Ils ont également exhorté les organisations à « prendre en compte le risque important d’accès et de persistance d’adversaires aux passerelles Ivanti Connect Secure et Ivanti Policy Secure lorsqu’elles déterminent s’il convient de continuer à utiliser ces appareils dans un environnement d’entreprise ».
Ivanti, en réponse à l’avis, dit il n’a connaissance d’aucun cas de persistance réussie d’acteurs menaçants suite à la mise en œuvre de mises à jour de sécurité et de réinitialisations d’usine. L’entreprise lance également une nouvelle version d’ICT qui, selon elle, « offre une visibilité supplémentaire sur l’appliance d’un client et sur tous les fichiers présents sur le système ».