Ivanti a publié plusieurs avis de sécurité sur des vulnérabilités affectant CSA qui sont activement exploitées :
- le 10 septembre 2024, Ivanti a publié un avis de sécurité concernant la vulnérabilité CVE-2024-8190 qui permet à un attaquant, authentifié en tant qu'administrateur, d'exécuter du code arbitraire à distance sur un équipement CSA ;
- le 13 septembre 2024, l'éditeur a ajouté que cette vulnérabilité était activement exploitée dans le cadre d'attaques ciblées ;
- le 16 septembre 2024, le CERT-FR a eu connaissance de codes d'exploitation publics pour la vulnérabilité CVE-2024-8190 ;
- le 19 septembre 2024, Ivanti a publié un nouvel avis de sécurité affectant CSA. La vulnérabilité CVE-2024-8963 permet à un attaquant non authentifié de contourner l'authentification et d'obtenir les droits administrateur ;
- le 8 octobre 2024, Ivanti a publié un nouvel avis de sécurité affectant les CSA versions 5.0.1 et antérieures. Les vulnérabilités CVE-2024-9379 et CVE-2024-9380, combinées à la vulnérabilité CVE-2024-8963 présente sur les CSA versions 4.6 antérieures au correctif 519, permettent d’exécuter du code arbitraire à distance ;
- le 11 octobre 2024 l'éditeur Fortinet a publié un billet de blogue [1] détaillant les exploitations constatées lors d'une opération de réponse à incidents.
L'éditeur a précisé que les vulnérabilités CVE-2024-8190 et CVE-2024-8963 étaient activement exploitées et a connaissance d’un nombre limité d’exploitations des vulnérabilités CVE-2024-9379 et CVE-2024-9380, combinées à la vulnérabilité CVE-2024-8963 sur les CSA en versions antérieures à 5.0 uniquement.
RISQUES
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
SYSTÈMES AFFECTÉS
- Ivanti Cloud Services Appliance (CSA) versions antérieures à 5.0.2
Une chaine d’exploitation complète est connue pour les produits Ivanti Cloud Services Appliance de versions antérieures à 5.0, notamment les versions 4.6 n’ayant pas appliqué le correctif 519. Les vulnérabilités CVE-2024-8190, CVE-2024-8963 et CVE-2024-9380 ont été exploitées avant la publication de ce correctif. Le CERT-FR n’a pas connaissance d’une chaine d’exploitation impactant les versions 5.0.x.
SOLUTION
L’éditeur recommande :
- d’isoler les équipements compromis du réseau et réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique) à des fins d’investigations approfondies
- de signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier
- de reconstruire la solution CSA en version 5.0.2 et son système d’exploitation sur lequel il repose à partir de source éditeur. L'attaquant peut déposer un implant qui ne sera pas supprimé avec la simple réinstallation de l'application
- réinitialiser les secrets associés à ces comptes afin d'éviter que l'attaquant ne puisse réutiliser ailleurs les identifiants éventuellement obtenus sur l'équipement.
Source : CERT.FR
