Exactement au moment où Ivanti déploie des correctifs pour deux vulnérabilités activement exploitées dans Connect Secure, deux nouveaux zero days émergent. Le service VPN est toujours sur la brèche.
Ivanti a de bonnes et de mauvaises nouvelles. De bonnes nouvelles : Ivanti a déployé des correctifs pour résoudre les vulnérabilités CVE-2023-46805 et CVE-2024-21887 dans son service VPN Connect Secure. Elles nuisent déjà beaucoup depuis décembre : on estime qu’au moins 500 appareils VPN à travers le monde ont été piratés avec cette vulnérabilité. En Europe, cela se limite à quelques appareils pour l’instant. D’autres sources mentionnent près de 2 000 exploits. Selon certaines sources, ce sont surtout les pirates chinois qui ont tombé férocement sur le poil de Connect Secure.
Ivanti a déjà été critiqué pour avoir manqué la date limite du 22 janvier pour le déploiement d’un correctif. Ivanti a mis une semaine de plus à déployer le correctif, mais au moins, il est publié. Ivanti conseille une remise à zéro avant de déployer le correctif.
La loi de Murphy
Une loi notoire nous dit que tout ce qui peut tourner mal tournera mal, et c’est maintenant le cas pour Ivanti. Bien que les vulnérabilités CVE-2023-46805 et CVE-2024-21887 aient été corrigées, deux nouvelles vulnérabilités ont déjà été découvertes : CVE-2024-21888 et CVE-2024-21893 : CVE-2024-21888 et CVE-2024-21893. La première vulnérabilité donne aux intrus les moyens de booster leurs droits sur votre réseau, la deuxième provoque une erreur de serveur qui laisse la porte bien ouverte aux attaquants, et ils n’ont même pas besoin de s’authentifier.
Autrement dit, CVE-2024-21893 ouvre toute les portes de votre réseau, et Ivanti craint que cette vulnérabilité ne devienne la prochaine à être activement exploitée. Les agences de cybersécurité américaine et allemande ont également publié des avertissements. Ivanti a déclaré à TechCrunch que le correctif du 31 janvier serait également une protection adéquate contre les nouveaux zero days. En attendant son exécution par les clients, la connexion au service VPN Connect Secure est pratiquement non sécurisée.