{"id":1610188,"date":"2025-04-04T04:49:33","date_gmt":"2025-04-04T06:49:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/flaw-ivanti-critique-exploite-activement-pour-deployer-des-logiciels-malveillants-trailblaze-et-brushfire\/"},"modified":"2025-04-04T04:49:38","modified_gmt":"2025-04-04T06:49:38","slug":"flaw-ivanti-critique-exploite-activement-pour-deployer-des-logiciels-malveillants-trailblaze-et-brushfire","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/flaw-ivanti-critique-exploite-activement-pour-deployer-des-logiciels-malveillants-trailblaze-et-brushfire\/","title":{"rendered":"Flaw Ivanti critique exploit\u00e9 activement pour d\u00e9ployer des logiciels malveillants Trailblaze et Brushfire"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Flaw-Ivanti-critique-exploite-activement-pour-deployer-des-logiciels-malveillants.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Ivanti a divulgu\u00e9 les d\u00e9tails d&#8217;une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique d\u00e9sormais r\u00e9gl\u00e9e impactant sa connexion s\u00e9curis\u00e9e qui a fait l&#8217;objet d&#8217;une exploitation active dans la nature.<\/p>\n<p>La vuln\u00e9rabilit\u00e9, suivie comme <strong>CVE-2025-22457<\/strong> (Score CVSS: 9.0), concerne un cas de d\u00e9bordement de tampon bas\u00e9 sur la pile qui pourrait \u00eatre exploit\u00e9 pour ex\u00e9cuter du code arbitraire sur les syst\u00e8mes affect\u00e9s.<\/p>\n<p>&#8220;Un d\u00e9bordement de tampon bas\u00e9 sur la pile dans Ivanti Connect Secure avant la version 22.7R2.6, la politique Ivanti Secure avant la version 22.7R1.4 et les passerelles Ivanti ZTA avant la version 22.8R2.2 permet un attaquant non authentifi\u00e9 distant pour r\u00e9aliser l&#8217;ex\u00e9cution de code distant&#8221;, Ivanti <a rel=\"noopener nofollow\" href=\"https:\/\/forums.ivanti.com\/s\/article\/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US\" target=\"_blank\">dit<\/a> Dans une alerte publi\u00e9e jeudi.<\/p>\n<p>La faille a un impact sur les produits et versions suivants &#8211;<\/p>\n<ul>\n<li>Ivanti Connect Secure (versions 22.7R2.5 et ant\u00e9rieure) &#8211; Correction de la version 22.7R2.6 (patch publi\u00e9 le 11 f\u00e9vrier 2025)<\/li>\n<li>Pulse Connect Secure (Versions 9.1R18.9 et Prior) &#8211; Fix\u00e9 dans la version 22.7R2.6 (Contactez Ivanti pour migrer lorsque l&#8217;appareil a atteint la fin de support au 31 d\u00e9cembre 2024)<\/li>\n<li>Ivanti Policy Secure (versions 22.7R1.3 et ant\u00e9rieure) &#8211; Fix\u00e9 dans la version 22.7R1.4 (pour \u00eatre disponible le 21 avril)<\/li>\n<li>ZTA Gateways (versions 22.8R2 et Prior) &#8211; Correction dans la version 22.8R2.2 (\u00e0 \u00eatre disponible le 19 avril)<\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Lucid-PhaaS-atteint-169-cibles-dans-88-pays-utilisant-iMessage.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;entreprise <a rel=\"noopener nofollow\" href=\"https:\/\/www.ivanti.com\/blog\/security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways\" target=\"_blank\">dit<\/a> Il est conscient d&#8217;un &#8220;nombre limit\u00e9 de clients&#8221; dont les appareils s\u00e9curis\u00e9s Connect Secure et de fin de support sont exploit\u00e9s. Il n&#8217;y a aucune preuve que la politique s\u00e9curis\u00e9e ou que les passerelles ZTA aient subi des abus dans les sauts.<\/p>\n<p>&#8220;Les clients doivent surveiller leurs TIC externes et rechercher des plantages de serveurs Web&#8221;, a not\u00e9 Ivanti. &#8220;Si votre r\u00e9sultat TIC montre des signes de compromis, vous devez effectuer une r\u00e9initialisation d&#8217;usine sur l&#8217;appareil, puis remettre l&#8217;appliance en production \u00e0 l&#8217;aide de la version 22.7r2.6.&#8221;<\/p>\n<p>Il convient de mentionner ici que Connect Secure Version 22.7R2.6 a \u00e9galement abord\u00e9 plusieurs vuln\u00e9rabilit\u00e9s critiques (CVE-2024-38657, CVE-2025-22467 et CVE-2024-10644) qui pourraient permettre \u00e0 un attaquant authentifi\u00e9 distant d&#8217;\u00e9crire des fichiers arbitraires et d&#8217;ex\u00e9cuter un code arbitraire.<\/p>\n<p>Mandiant appartenant \u00e0 Google, dans un <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/china-nexus-exploiting-critical-ivanti-vulnerability\" target=\"_blank\">bulletin<\/a> De lui-m\u00eame, a d\u00e9clar\u00e9 avoir observ\u00e9 des preuves de l&#8217;exploitation du CVE-2025-22457 \u00e0 la mi-mars 2025, permettant aux acteurs de la menace de livrer un compte-gouttes en m\u00e9moire appel\u00e9 Trailblaze, une cod\u00e9 Brushfire de cod\u00e9card\u00e9e passive et la suite de logiciels malveillants Spawn.<\/p>\n<p>La cha\u00eene d&#8217;attaque implique essentiellement l&#8217;utilisation d&#8217;un compte-gouttes de script de shell \u00e0 plusieurs \u00e9tages pour ex\u00e9cuter Trailblaze, qui injecte ensuite Brushfire directement dans la m\u00e9moire d&#8217;un processus Web en cours d&#8217;ex\u00e9cution dans le but de contourner la d\u00e9tection. L&#8217;activit\u00e9 d&#8217;exploitation est con\u00e7ue pour \u00e9tablir un acc\u00e8s de porte d\u00e9rob\u00e9e persistant sur les appareils compromis, permettant potentiellement le vol d&#8217;identification, l&#8217;intrusion de r\u00e9seau suppl\u00e9mentaire et l&#8217;exfiltration des donn\u00e9es.<\/p>\n<p>L&#8217;utilisation de Spawn est attribu\u00e9e \u00e0 un adversaire China-Nexus suivi sous le nom de UNC5221, qui a des ant\u00e9c\u00e9dents de mise en \u0153uvre de d\u00e9fauts z\u00e9ro-jours dans les appareils Ivanti Connect Secure (ICS), aux c\u00f4t\u00e9s d&#8217;autres grappes telles que UNC5266, UNC5291, UNC5325, UNC5330, UNC537 et UNC3886.<\/p>\n<p>UNC5221, selon le gouvernement am\u00e9ricain, a \u00e9galement \u00e9t\u00e9 \u00e9valu\u00e9 pour partager des chevauchements avec des groupes de menaces tels que l&#8217;APT27, le typhon de soie et l&#8217;UTA0178. Cependant, la soci\u00e9t\u00e9 de renseignement sur les menaces a d\u00e9clar\u00e9 au Hacker News qu&#8217;il n&#8217;avait pas suffisamment de preuves pour confirmer ce lien.<\/p>\n<p>&#8220;Mandiant suit UNC5221 comme un groupe d&#8217;activit\u00e9s qui a exploit\u00e9 \u00e0 plusieurs reprises les appareils Edge avec des vuln\u00e9rabilit\u00e9s z\u00e9ro-jour&#8221;, a d\u00e9clar\u00e9 \u00e0 The Publication Dan Perez, Dan Perez, leader technique de la mission China, Google Threat Intelligence.<\/p>\n<p>&#8220;Le lien entre ce cluster et APT27 \u00e9tabli par le gouvernement est plausible, mais nous n&#8217;avons pas de preuves ind\u00e9pendantes pour confirmer. Le typhon de soie est le nom de Microsoft pour cette activit\u00e9, et nous ne pouvons pas parler de leur attribution.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;UNC5221 a \u00e9galement \u00e9t\u00e9 observ\u00e9 en tirant parti d&#8217;un r\u00e9seau d&#8217;obscurcissement d&#8217;approvisionnements de cyberoam compromis, de dispositifs QNAP et de routeurs ASUS pour masquer leur v\u00e9ritable source lors des op\u00e9rations d&#8217;intrusion, un aspect \u00e9galement mis en \u00e9vidence par Microsoft au d\u00e9but du mois dernier, d\u00e9taillant la derni\u00e8re colonne commerciale de Silk Typhoon.<\/p>\n<p>L&#8217;entreprise a en outre \u00e9mis l&#8217;habitude que l&#8217;acteur de menace a probablement analys\u00e9 le correctif de f\u00e9vrier publi\u00e9 par Ivanti et a trouv\u00e9 un moyen d&#8217;exploiter les versions ant\u00e9rieures afin d&#8217;atteindre l&#8217;ex\u00e9cution du code \u00e0 distance contre les syst\u00e8mes non corrig\u00e9s. Le d\u00e9veloppement marque la premi\u00e8re fois que l&#8217;UNC5221 a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;exploitation des jours \u00e0 n-days d&#8217;une faille de s\u00e9curit\u00e9 dans les appareils Ivanti.<\/p>\n<p>&#8220;Cette derni\u00e8re activit\u00e9 de l&#8217;UNC5221 souligne le ciblage en cours des dispositifs de bord mondiale par les groupes d&#8217;espionnage en Chine-Nexus&#8221;, a d\u00e9clar\u00e9 Charles Carmakal, Mandiant Consulting CTO.<\/p>\n<p>&#8220;Ces acteurs continueront \u00e0 rechercher des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 et \u00e0 d\u00e9velopper des logiciels malveillants personnalis\u00e9s pour les syst\u00e8mes d&#8217;entreprise qui ne prennent pas en charge les solutions EDR. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/critical-ivanti-flaw-actively-exploited.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 avril 2025\ue804Ravie LakshmananMalware \/ vuln\u00e9rabilit\u00e9 Ivanti a divulgu\u00e9 les d\u00e9tails d&#8217;une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique d\u00e9sormais r\u00e9gl\u00e9e impactant sa connexion s\u00e9curis\u00e9e qui a fait l&#8217;objet d&#8217;une exploitation active dans la nature. La vuln\u00e9rabilit\u00e9, suivie comme CVE-2025-22457 (Score CVSS: 9.0), concerne un cas de d\u00e9bordement de tampon bas\u00e9 sur la pile qui pourrait \u00eatre exploit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1610189,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4807,274266,274265,293324,4168,22,79002,274264,4161,274263,6124,9886,133,7727,53445,175748,4589,4590,274267,4160,185,238617,246491,4172,79016,293323,4166,4164],"class_list":["post-1610188","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-activement","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-brushfire","tag-comment-pirater","tag-critique","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-des","tag-exploite","tag-flaw","tag-ivanti","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-trailblaze","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1610188"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610188\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1610189"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1610188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1610188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1610188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}