{"id":1096216,"date":"2024-01-11T08:34:33","date_gmt":"2024-01-11T10:34:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-exploitent-des-failles-zero-day-dans-ivanti-connect-secure-et-policy-secure\/"},"modified":"2024-01-11T08:34:37","modified_gmt":"2024-01-11T10:34:37","slug":"des-pirates-chinois-exploitent-des-failles-zero-day-dans-ivanti-connect-secure-et-policy-secure","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-exploitent-des-failles-zero-day-dans-ivanti-connect-secure-et-policy-secure\/","title":{"rendered":"Des pirates chinois exploitent des failles Zero Day dans Ivanti Connect Secure et Policy Secure"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cybers\u00e9curit\u00e9 \/ Zero-Day<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Des-pirates-chinois-exploitent-des-failles-Zero-Day-dans-Ivanti.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Deux failles zero-day identifi\u00e9es dans Ivanti Connect Secure (ICS) et Policy Secure ont \u00e9t\u00e9 encha\u00een\u00e9es par des acteurs \u00e9tatiques soup\u00e7onn\u00e9s d&#8217;\u00eatre li\u00e9s \u00e0 la Chine pour pirater moins de 10 utilisateurs.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2024\/01\/10\/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn\/\" target=\"_blank\">identifi\u00e9<\/a> l&#8217;activit\u00e9 sur le r\u00e9seau d&#8217;un de ses clients au cours de la deuxi\u00e8me semaine de d\u00e9cembre 2023, l&#8217;a attribu\u00e9e \u00e0 un groupe de hackers qu&#8217;il traque sous le nom <strong>UTA0178<\/strong>.  Il existe des preuves sugg\u00e9rant que l\u2019appliance VPN pourrait avoir \u00e9t\u00e9 compromise d\u00e8s le 3 d\u00e9cembre 2023.<\/p>\n<p>Les deux vuln\u00e9rabilit\u00e9s qui ont \u00e9t\u00e9 exploit\u00e9es dans la nature pour permettre l&#8217;ex\u00e9cution de commandes non authentifi\u00e9es sur le p\u00e9riph\u00e9rique ICS sont les suivantes\u00a0:<\/p>\n<ul>\n<li><strong>CVE-2023-46805<\/strong> (score CVSS : 8,2) &#8211; Une vuln\u00e9rabilit\u00e9 de contournement d&#8217;authentification dans le composant Web d&#8217;Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure permet \u00e0 un attaquant distant d&#8217;acc\u00e9der \u00e0 des ressources restreintes en contournant les contr\u00f4les de contr\u00f4le.<\/li>\n<\/ul>\n<ul>\n<li><strong>CVE-2024-21887<\/strong> (score CVSS : 9,1) &#8211; Une vuln\u00e9rabilit\u00e9 d&#8217;injection de commandes dans les composants Web d&#8217;Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure permet \u00e0 un administrateur authentifi\u00e9 d&#8217;envoyer des requ\u00eates sp\u00e9cialement con\u00e7ues et d&#8217;ex\u00e9cuter des commandes arbitraires sur l&#8217;appliance.<\/li>\n<\/ul>\n<p>Les vuln\u00e9rabilit\u00e9s peuvent \u00eatre transform\u00e9es en cha\u00eene d\u2019exploitation pour prendre en charge les instances sensibles sur Internet.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab Si CVE-2024-21887 est utilis\u00e9 conjointement avec CVE-2023-46805, l&#8217;exploitation ne n\u00e9cessite pas d&#8217;authentification et permet \u00e0 un acteur malveillant de cr\u00e9er des requ\u00eates malveillantes et d&#8217;ex\u00e9cuter des commandes arbitraires sur le syst\u00e8me \u00bb, Ivanti <a rel=\"nofollow noopener\" href=\"https:\/\/forums.ivanti.com\/s\/article\/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US\" target=\"_blank\">dit<\/a> dans un avis.<\/p>\n<p>La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 avoir observ\u00e9 des tentatives de la part des acteurs malveillants de manipuler le v\u00e9rificateur d&#8217;int\u00e9grit\u00e9 interne d&#8217;Ivanti (<a rel=\"nofollow noopener\" href=\"https:\/\/forums.ivanti.com\/s\/article\/KB44755?language=en_US\" target=\"_blank\">TIC<\/a>), qui offre un instantan\u00e9 de l\u2019\u00e9tat actuel de l\u2019appliance.<\/p>\n<p>Les correctifs devraient \u00eatre publi\u00e9s de mani\u00e8re \u00e9chelonn\u00e9e \u00e0 partir de la semaine du 22 janvier 2024. Entre-temps, il a \u00e9t\u00e9 recommand\u00e9 aux utilisateurs d&#8217;appliquer une solution de contournement pour se prot\u00e9ger contre les menaces potentielles.<\/p>\n<p>Dans l&#8217;incident analys\u00e9 par Volexity, les deux failles auraient \u00e9t\u00e9 utilis\u00e9es pour &#8220;voler des donn\u00e9es de configuration, modifier des fichiers existants, t\u00e9l\u00e9charger des fichiers distants et inverser le tunnel depuis l&#8217;appliance VPN ICS&#8221;.<\/p>\n<p>L&#8217;attaquant a ensuite modifi\u00e9 un fichier CGI l\u00e9gitime (compcheck.cgi) sur l&#8217;appliance VPN ICS pour permettre l&#8217;ex\u00e9cution de commandes.  De plus, un fichier JavaScript charg\u00e9 par la page de connexion Web SSL VPN a \u00e9t\u00e9 modifi\u00e9 pour enregistrer les frappes au clavier et exfiltrer les informations d&#8217;identification associ\u00e9es aux utilisateurs se connectant \u00e0 l&#8217;appareil.<\/p>\n<p>&#8220;Les informations et les informations d&#8217;identification collect\u00e9es par l&#8217;attaquant lui ont permis de se tourner vers une poign\u00e9e de syst\u00e8mes en interne et, finalement, d&#8217;obtenir un acc\u00e8s illimit\u00e9 aux syst\u00e8mes du r\u00e9seau&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Volexity Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair et Thomas Lancaster. dit.<\/p>\n<p>Les attaques se caract\u00e9risent \u00e9galement par des efforts de reconnaissance, des mouvements lat\u00e9raux et le d\u00e9ploiement d&#8217;un shell Web personnalis\u00e9 baptis\u00e9 GLASSTOKEN via le fichier CGI de porte d\u00e9rob\u00e9e pour maintenir un acc\u00e8s \u00e0 distance persistant aux serveurs Web externes.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA), dans un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/01\/10\/cisa-adds-two-known-exploited-vulnerabilities-catalog\" target=\"_blank\">alerte<\/a> de sa propre initiative, a d\u00e9clar\u00e9 avoir ajout\u00e9 les deux lacunes \u00e0 ses vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (<a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\">KEV<\/a>), exhortant les agences f\u00e9d\u00e9rales \u00e0 appliquer les correctifs d&#8217;ici le 31 janvier 2024.<\/p>\n<p>&#8220;Les syst\u00e8mes accessibles \u00e0 Internet, en particulier les appareils critiques comme <a rel=\"nofollow noopener\" href=\"https:\/\/eclypsium.com\/blog\/infographic-a-history-of-network-device-threats-and-what-lies-ahead\/\" target=\"_blank\">Appliances VPN et pare-feu<\/a>sont redevenus une cible privil\u00e9gi\u00e9e des attaquants&#8221;, a d\u00e9clar\u00e9 Volexity.<\/p>\n<p>\u00ab Ces syst\u00e8mes se trouvent souvent sur des parties critiques du r\u00e9seau, ne peuvent pas ex\u00e9cuter de logiciels de s\u00e9curit\u00e9 traditionnels et se trouvent g\u00e9n\u00e9ralement \u00e0 l&#8217;endroit id\u00e9al pour qu&#8217;un attaquant puisse op\u00e9rer. Les organisations doivent s&#8217;assurer qu&#8217;elles ont mis en place une strat\u00e9gie pour pouvoir surveiller l&#8217;activit\u00e9 de ces \u00e9l\u00e9ments. appareils et r\u00e9agir rapidement si quelque chose d&#8217;inattendu se produit.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/chinese-hackers-exploit-zero-day-flaws.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 janvier 2024\ue804R\u00e9dactionCybers\u00e9curit\u00e9 \/ Zero-Day Deux failles zero-day identifi\u00e9es dans Ivanti Connect Secure (ICS) et Policy Secure ont \u00e9t\u00e9 encha\u00een\u00e9es par des acteurs \u00e9tatiques soup\u00e7onn\u00e9s d&#8217;\u00eatre li\u00e9s \u00e0 la Chine pour pirater moins de 10 utilisateurs. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity, qui identifi\u00e9 l&#8217;activit\u00e9 sur le r\u00e9seau d&#8217;un de ses clients au cours de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1096217,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,5663,4168,115943,4165,4161,200267,429,11648,133,8736,4806,175748,4159,4171,200271,200268,200269,200270,4394,42568,78891,128318,4172,4169,4166,4164],"class_list":["post-1096216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chinois","tag-comment-pirater","tag-connect","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-day","tag-des","tag-exploitent","tag-failles","tag-ivanti","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pirates","tag-policy","tag-secure","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1096216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1096216"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1096216\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1096217"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1096216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1096216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1096216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}