Le fournisseur de solutions de gestion IT Ivanti est dans une mauvaise passe. L'agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) a mis en garde les entreprises contre l'exploitation active d'une vulnérabilité critique d'Endpoint Manager (EPM) permettant l'exécution de code à distance (RCE) que l'éditeur avait pourtant corrigé en mai 2024. Un scénario identique à celui d'un autre trou de sécurité affectant Cloud Service Appliance en septembre. Identifiée sous le nom de CVE-2024-29824, la faille est une vulnérabilité d'injection SQL dans le serveur central de l'EPM Ivanti donnant l'opportunité à un attaquant non authentifié au sein du même réseau d'exécuter un code arbitraire à distance. L'avertissement de la Cisa fait suite à une mise à jour du 1er octobre de l'avis de sécurité publié par Ivanti en mai, qui ajoute désormais : « Ivanti a confirmé l'exploitation de la CVE-2024-29824 dans la nature. Au moment de cette mise à jour, nous avons connaissance d'un nombre limité de clients qui ont été exploités ». La Cisa a ajouté cette vulnérabilité à son catalogue de vulnérabilités connues et exploitées (KEV).

Les versions 2022 et antérieures de l'EPM d'Ivanti, disponibles pour les clients sous le nom de mise à jour de service 5 (SU5), ont été entachées d'une série de bogues RCE critiques, y compris la CVE-2024-29824, tous recevant une note de gravité de CVSS 9,6 sur 10. La solution, qui permet aux entreprises de gérer, de sécuriser et d'automatiser la maintenance de leurs terminaux, y compris les ordinateurs de bureau, les PC portables, les serveurs et les appareils mobiles, au sein d'un environnement informatique, aurait été affectée par une faille permettant l'exécution d'une série de requêtes SQL malveillantes sur les bases de données sous-jacentes. Les cinq autres vulnérabilités critiques d'injection SQL ont été étiquetées CVE-2024-29822, CVE-2024-29823, CVE-2024-29825, CVE-2024-29826 et CVE-2024-29827. Bien que l'éditeur n'ait pas divulgué les détails techniques de l'exploitation observée, Horizon3ai, une entreprise de cybersécurité spécialisée en pentesting, a publié un exploit de PoC sur Github. Ivanti n'a pas répondu aux demandes de détails sur cet exploit.

L'atténuation limitée à l'application de correctifs

Il est conseillé aux clients qui utilisent les versions concernées d'appliquer des correctifs à leur solution Ivanti et, dans les cas où il n'est pas possible d'appliquer des correctifs, il est recommandé de cesser immédiatement l'utilisation de la solution. Il n'y a aucune preuve d'exploitation dans les attaques de ransomware, a indiqué la Cisa dans son entrée KEV. Cet éditeur a subi un grand nombre de trous de sécurité en 2024, ce qui l'a contraint à revoir la sécurité de ses produits.

Dans une lettre adressée à ses clients et partenaires en avril dernier, le CEO de l'éditeur Jeff Abbott avait assuré qu'une refonte était d'ailleurs prévue pour renforcer les contrôles. « Les événements de ces derniers mois ont été humiliants, et je tiens à vous faire part directement des mesures que nous prenons pour en sortir plus forts, et pour que nos clients soient plus en sécurité. Nous nous sommes mis au défi d'examiner d'un œil critique chaque phase de nos processus et chaque produit, afin de garantir le plus haut niveau de protection à nos clients. » Reste à savoir maintenant quand les promesses vont se transformer en acte.