Ivanti a découvert une énième fuite critique dans son client VPN Zero Secure. Cela fait maintenant cinq vulnérabilités en deux mois, dont trois fuites « zero day ».
Ivanti a découvert une nouvelle vulnérabilité dans Connect Secure, Policy Secure et les passerelles ZTA. Le fabricant a enregistré tous les détails sous CVE-2024-22024. La fuite permet de contourner l’authentification et touche quelques versions de logiciels. Ainsi, elle n’est pas aussi critique que les quatre vulnérabilités précédentes, dont trois bogues zero day, au cours des deux derniers mois.
Il est toutefois curieux qu’Ivanti prétende avoir découvert cette vulnérabilité elle-même, alors que les chercheurs de watchTowr ont partagé leurs observations sur cette fuite avec le fabricant le 2 février. Selon Ivanti, ce sont des collègues qui ont trouvé la fuite.
watchTowr commente à ce sujet : « Aujourd’hui, nous sommes heureux de voir qu’Ivanti a publié un avertissement pour cette vulnérabilité. C’était un peu curieux, mais peut-être que nous avons de nouveaux collègues ? » L’entreprise ajoute qu’elle a été « surprise » par le manque de reconnaissance, mais qu’elle suppose que cela s’est fait sans intention malveillante.
Voici les versions vulnérables :
- Ivanti Connect Secure (version 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1)
- Ivanti Policy Secure (version 22.5R1.1)
- ZTA (version 22.6R1.3)
Il existe déjà un correctif depuis le 31 janvier. Si vous avez déjà mis à jour votre système à cette date, il n’y a rien à craindre. Espérons que vous l’avez fait, car Ivanti a eu deux semaines très pénibles à ce sujet.
Trop de zero days
Depuis la mi-janvier, un zero day est activement exploité au sein du client Ivanti Connect Secure VPN. Fin janvier, 492 appareils VPN avaient été piratés des 26 000 visibles en ligne. L’Allemagne, l’Italie et les Pays-Bas sont les trois pays les plus touchés en Europe. Ivanti a déjà été critiqué pour avoir manqué la date limite du 22 janvier pour le déploiement d’un correctif.
Début février, Murphy a frappé Ivanti avec deux nouveaux zero days dans Connect Secure. Cette nouvelle est arrivée en même temps que la publication de nouveaux correctifs contre les précédentes failles de sécurité. Ivanti a précisé que le correctif du 31 janvier garantirait également une protection suffisante contre les nouveaux zero days et a vivement conseillé aux utilisateurs de prendre immédiatement les mesures. Le service Connect Secure VPN ne peut pas assurer une connectivité sécurisée tant que les clients n’ont pas appliqué les correctifs.