{"id":1146525,"date":"2024-02-13T05:39:47","date_gmt":"2024-02-13T07:39:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-vulnerabilite-ivanti-exploitee-pour-installer-la-porte-derobee-dslog-sur-plus-de-670-infrastructures-informatiques\/"},"modified":"2024-02-13T05:39:54","modified_gmt":"2024-02-13T07:39:54","slug":"une-vulnerabilite-ivanti-exploitee-pour-installer-la-porte-derobee-dslog-sur-plus-de-670-infrastructures-informatiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-vulnerabilite-ivanti-exploitee-pour-installer-la-porte-derobee-dslog-sur-plus-de-670-infrastructures-informatiques\/","title":{"rendered":"Une vuln\u00e9rabilit\u00e9 Ivanti exploit\u00e9e pour installer la porte d\u00e9rob\u00e9e \u00ab DSLog \u00bb sur plus de 670 infrastructures informatiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Une-vulnerabilite-Ivanti-exploitee-pour-installer-la-porte-derobee.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs malveillants exploitent une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e affectant les passerelles Ivanti Connect Secure, Policy Secure et ZTA pour d\u00e9ployer une porte d\u00e9rob\u00e9e nomm\u00e9e <strong>DSLog<\/strong> sur les appareils sensibles.<\/p>\n<p>C&#8217;est selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/blog\/research\/ivanti-connect-secure-journey-to-the-core-of-the-dslog-backdoor\" target=\"_blank\">r\u00e9sultats<\/a> d&#8217;Orange Cyberdefense, qui a d\u00e9clar\u00e9 avoir observ\u00e9 l&#8217;exploitation du CVE-2024-21893 quelques heures apr\u00e8s la publication publique du code de preuve de concept (PoC).<\/p>\n<p>CVE-2024-21893, qui a \u00e9t\u00e9 divulgu\u00e9 par Ivanti \u00e0 la fin du mois dernier aux c\u00f4t\u00e9s de CVE-2024-21888, fait r\u00e9f\u00e9rence \u00e0 une vuln\u00e9rabilit\u00e9 de falsification de requ\u00eate c\u00f4t\u00e9 serveur (SSRF) dans le module SAML qui, si elle est exploit\u00e9e avec succ\u00e8s, pourrait permettre l&#8217;acc\u00e8s \u00e0 des ressources autrement restreintes. sans aucune authentification.<\/p>\n<p>La soci\u00e9t\u00e9 bas\u00e9e dans l\u2019Utah a depuis reconnu que la faille limitait les attaques cibl\u00e9es, m\u00eame si l\u2019ampleur exacte des compromissions n\u2019est pas claire.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Puis, la semaine derni\u00e8re, la Shadowserver Foundation a r\u00e9v\u00e9l\u00e9 une recrudescence des tentatives d&#8217;exploitation ciblant la vuln\u00e9rabilit\u00e9 provenant de plus de 170 adresses IP uniques, peu apr\u00e8s Rapid7 et AssetNote. <a rel=\"nofollow noopener\" href=\"https:\/\/www.assetnote.io\/resources\/research\/ivantis-pulse-connect-secure-auth-bypass-round-two\" target=\"_blank\">partag\u00e9<\/a> sp\u00e9cificit\u00e9s techniques suppl\u00e9mentaires.<\/p>\n<p>La derni\u00e8re analyse d&#8217;Orange Cyberdefense montre que des compromissions ont \u00e9t\u00e9 d\u00e9tect\u00e9es d\u00e8s le 3 f\u00e9vrier, l&#8217;attaque ciblant un client anonyme pour injecter une porte d\u00e9rob\u00e9e qui accorde un acc\u00e8s \u00e0 distance persistant.<\/p>\n<p>&#8220;La porte d\u00e9rob\u00e9e est ins\u00e9r\u00e9e dans un fichier Perl existant appel\u00e9 &#8216;DSLog.pm'&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9, soulignant un mod\u00e8le continu dans lequel des composants l\u00e9gitimes existants \u2013 dans ce cas, un module de journalisation \u2013 sont modifi\u00e9s pour ajouter le code malveillant.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707809986_114_Une-vulnerabilite-Ivanti-exploitee-pour-installer-la-porte-derobee.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707809986_114_Une-vulnerabilite-Ivanti-exploitee-pour-installer-la-porte-derobee.jpg\" alt=\"D\u00e9faut Ivanti\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"D\u00e9faut Ivanti\"\/><\/a><\/div>\n<p>DSLog, l&#8217;implant, est \u00e9quip\u00e9 de ses propres astuces pour entraver l&#8217;analyse et la d\u00e9tection, notamment l&#8217;int\u00e9gration d&#8217;un hachage unique par appareil, rendant ainsi impossible l&#8217;utilisation du hachage pour contacter la m\u00eame porte d\u00e9rob\u00e9e sur un autre appareil.<\/p>\n<p>La m\u00eame valeur de hachage est fournie par les attaquants au <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Headers\/User-Agent\" target=\"_blank\">Champ d&#8217;en-t\u00eate User-Agent<\/a> dans une requ\u00eate HTTP adress\u00e9e \u00e0 l&#8217;appliance pour permettre au malware d&#8217;extraire la commande \u00e0 ex\u00e9cuter \u00e0 partir d&#8217;un param\u00e8tre de requ\u00eate appel\u00e9 \u00ab cdi \u00bb.  L&#8217;instruction d\u00e9cod\u00e9e est ensuite ex\u00e9cut\u00e9e en tant qu&#8217;utilisateur root.<\/p>\n<p>&#8220;Le shell Web ne renvoie pas de statut\/code lorsqu&#8217;on tente de le contacter&#8221;, a d\u00e9clar\u00e9 Orange Cyberdefense.  &#8220;Il n&#8217;existe aucun moyen connu de le d\u00e9tecter directement.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il a en outre observ\u00e9 des preuves selon lesquelles des acteurs malveillants effa\u00e7aient les journaux \u00ab .access \u00bb sur \u00ab plusieurs \u00bb appareils dans le but de dissimuler la piste m\u00e9dico-l\u00e9gale et de passer inaper\u00e7us.<\/p>\n<p>Mais en v\u00e9rifiant les artefacts cr\u00e9\u00e9s lors du d\u00e9clenchement de la vuln\u00e9rabilit\u00e9 SSRF, la soci\u00e9t\u00e9 a d\u00e9clar\u00e9 avoir \u00e9t\u00e9 en mesure de d\u00e9tecter 670 actifs compromis lors d&#8217;une premi\u00e8re analyse le 3 f\u00e9vrier, un nombre qui est tomb\u00e9 \u00e0 524 le 7 f\u00e9vrier.<\/p>\n<p>Compte tenu de l&#8217;exploitation continue des appareils Ivanti, il est <a rel=\"nofollow noopener\" href=\"https:\/\/forums.ivanti.com\/s\/article\/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US\" target=\"_blank\">hautement recommand\u00e9<\/a> que &#8220;tous les clients r\u00e9initialisent leur appareil en usine avant d&#8217;appliquer le correctif pour emp\u00eacher l&#8217;acteur malveillant d&#8217;obtenir la persistance de la mise \u00e0 niveau dans votre environnement&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/ivanti-vulnerability-exploited-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 f\u00e9vrier 2024\ue804R\u00e9dactionVuln\u00e9rabilit\u00e9 \/ Cybermenace Les acteurs malveillants exploitent une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e affectant les passerelles Ivanti Connect Secure, Policy Secure et ZTA pour d\u00e9ployer une porte d\u00e9rob\u00e9e nomm\u00e9e DSLog sur les appareils sensibles. C&#8217;est selon r\u00e9sultats d&#8217;Orange Cyberdefense, qui a d\u00e9clar\u00e9 avoir observ\u00e9 l&#8217;exploitation du CVE-2024-21893 quelques heures apr\u00e8s la publication publique [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1146526,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,7084,229686,36372,8154,6121,5199,175748,4159,4171,200271,200268,200269,200270,2742,185,128318,4172,4169,60,196,4166,3667,4164],"class_list":["post-1146525","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-derobee","tag-dslog","tag-exploitee","tag-informatiques","tag-infrastructures","tag-installer","tag-ivanti","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-porte","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sur","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1146525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1146525"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1146525\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1146526"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1146525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1146525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1146525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}