L’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a publi\u00e9 vendredi un directive d’urgence<\/a> exhortant les agences du Federal Civilian Executive Branch (FCEB) \u00e0 mettre en \u0153uvre des mesures d’att\u00e9nuation contre deux failles zero-day activement exploit\u00e9es dans les produits Ivanti Connect Secure (ICS) et Ivanti Policy Secure (IPS).<\/p>\n Ce d\u00e9veloppement est intervenu apr\u00e8s que les vuln\u00e9rabilit\u00e9s \u2013 un contournement d’authentification (CVE-2023-46805) et un bug d’injection de code (CVE-2024-21887) \u2013 aient \u00e9t\u00e9 largement exploit\u00e9es par plusieurs acteurs malveillants. Les failles permettent \u00e0 un acteur malveillant de cr\u00e9er des requ\u00eates malveillantes et d’ex\u00e9cuter des commandes arbitraires sur le syst\u00e8me.<\/p>\n La soci\u00e9t\u00e9 am\u00e9ricaine reconnu<\/a> dans un avis, il a \u00e9t\u00e9 t\u00e9moin d’une \u00ab forte augmentation de l’activit\u00e9 des acteurs mena\u00e7ants \u00bb \u00e0 partir du 11 janvier 2024, apr\u00e8s que les lacunes ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es publiquement.<\/p>\n “Une exploitation r\u00e9ussie des vuln\u00e9rabilit\u00e9s de ces produits concern\u00e9s permet \u00e0 un acteur malveillant de se d\u00e9placer lat\u00e9ralement, d’effectuer une exfiltration de donn\u00e9es et d’\u00e9tablir un acc\u00e8s persistant au syst\u00e8me, ce qui entra\u00eene une compromission compl\u00e8te des syst\u00e8mes d’information cibles”, a d\u00e9clar\u00e9 l’agence. dit<\/a>.<\/p>\n Ivanti, qui devrait publier une mise \u00e0 jour pour corriger les failles la semaine prochaine, a mis \u00e0 disposition une solution de contournement temporaire via un fichier XML qui peut \u00eatre import\u00e9 dans les produits concern\u00e9s pour apporter les modifications de configuration n\u00e9cessaires.<\/p>\n La CISA exhorte les organisations ex\u00e9cutant ICS \u00e0 appliquer les mesures d’att\u00e9nuation et \u00e0 ex\u00e9cuter un outil de v\u00e9rification de l’int\u00e9grit\u00e9 externe pour identifier les signes de compromission et, le cas \u00e9ch\u00e9ant, \u00e0 les d\u00e9connecter des r\u00e9seaux et \u00e0 r\u00e9initialiser l’appareil, puis \u00e0 importer le fichier XML.<\/p>\n Par ailleurs, les entit\u00e9s FCEB sont exhort\u00e9<\/a> pour r\u00e9voquer et r\u00e9\u00e9mettre tous les certificats stock\u00e9s, r\u00e9initialiser le mot de passe d’activation de l’administrateur, stocker les cl\u00e9s API et r\u00e9initialiser les mots de passe de tout utilisateur local d\u00e9fini sur la passerelle.<\/p>\n Les soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 Volexity et Mandiant ont observ\u00e9 des attaques exploitant les deux failles pour d\u00e9ployer des shells Web et des portes d\u00e9rob\u00e9es passives pour un acc\u00e8s persistant aux appareils compromis. On estime qu\u2019\u00e0 ce jour, jusqu\u2019\u00e0 2 100 appareils dans le monde ont \u00e9t\u00e9 compromis.<\/p>\n La premi\u00e8re vague d\u2019attaques identifi\u00e9e en d\u00e9cembre 2023 a \u00e9t\u00e9 attribu\u00e9e \u00e0 un groupe d\u2019\u00c9tat-nation chinois suivi sous le nom d\u2019UTA0178. Mandiant garde un \u0153il sur cette activit\u00e9 sous le nom d’UNC5221, bien qu’elle n’ait \u00e9t\u00e9 li\u00e9e \u00e0 aucun groupe ou pays sp\u00e9cifique.<\/p>\n La soci\u00e9t\u00e9 de renseignement sur les menaces GreyNoise a d\u00e9clar\u00e9 avoir \u00e9galement observ\u00e9<\/a> les vuln\u00e9rabilit\u00e9s sont exploit\u00e9es pour supprimer les portes d\u00e9rob\u00e9es persistantes et les mineurs de crypto-monnaie XMRig, indiquant une exploitation opportuniste par de mauvais acteurs \u00e0 des fins financi\u00e8res.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/La-CISA-publie-une-directive-durgence-a-lintention-des-agences.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n