Une faille critique touchant les VPN Ivanti déjà exploitée

Ivanti met en garde contre l'exploitation dans la nature d'une faille dans son appliance VPN SSL. Les passerelles Policy Secure et Neurons for ZTA sont également concernées.

Afin de remédier à deux vulnérabilités de corruption de la mémoire, dont l'une a déjà été exploitée dans la nature en tant que zero-day pour compromettre des terminaux, Ivanti a publié hier des correctifs pour ses appliances VPN SSL Connect Secure. La vulnérabilité exploitée, portant la référence CVE-2025-0282, est une faille de type débordement de mémoire tampon ou « Stack-based buffer overflow flaw ». Avec un score CVSS de 9,0, elle est considérée comme critique. Elle peut être exploitée sans authentification pour réaliser une exécution de code à distance et concerne les passerelles Connect Secure, Policy Secure et Neurons for ZTA (zero trust access). La seconde brèche, portant la référence CVE-2025-0283, est de même nature (débordement de tampon mémoire). Elle affecte les mêmes produits, mais nécessite une authentification pour être exploitée et ne peut conduire qu'à une escalade des privilèges. Avec un score CVSS de 7.0, elle est considérée de gravité élevée.

Des correctifs pour d'autres solutions attendus le 21 janvier

Dans son avis de sécurité, le fournisseur de solutions de gestion IT indique que la faille CVE-2025-0282 a été exploitée dans « un nombre limité d'appliances Connect Secure de clients », mais le fournisseur n'a pas encore connaissance d'une exploitation sauvage contre les passerelles Policy Secure et Neurons for ZTA. Quant à la faille CVE-2025-0283, elle a été découverte en interne lors de l'examen de la vulnérabilité CVE-2025-0282, et rien n'indique qu'elle a été exploitée. Les failles n'ont pas besoin d'être enchaînées pour qu'une attaque réussisse. Pour l'instant, les correctifs ne sont disponibles que pour Connect Secure, ceux pour Policy Secure et Neurons étant prévus pour le 21 janvier.

C'est un délai plus que suffisant pour que les correctifs fassent l'objet d’un rétro-ingénierie et que des preuves de concept soient développées et adoptées par les attaquants. Cependant, l’éditeur fait remarquer que Policy Secure n'est pas censé être exposé à Internet, ce qui réduit le risque. Le fournisseur conseille à tous les clients de s'assurer que l'appliance est configuré conformément aux recommandations officielles. Par ailleurs, les passerelles ZTA de Neurons ne peuvent pas être exploitées en production quand elles sont connectées à un contrôleur ZTA. Seules les passerelles générées et non connectées risquent d'être exploitées.

Une détection par l’outil ICT

Pour Connect Secure, l'entreprise conseille aux clients de passer à la version 22.7R2.5 et d'effectuer des analyses avec l'outil interne et externe Integrity Checker Tool (ICT), qui devrait détecter les signes de compromission. « Il est recommandé de réinitialiser les appliances dont l'analyse ICT est correcte avant de mettre la version 22.7R2.5 en production, par excès de prudence », a déclaré Ivanti. La vulnérabilité CVE-2025-0283 affecte les versions 22.x et 9.x de Connect Secure, même si la branche 9.x, arrivée en fin de vie le 31 décembre, ne recevra pas de correctif. La faille CVE-2025-0282 ne concerne que la version 22.x.

« L'activité de l'acteur de la menace a été identifiée par l'outil Integrity Checker Tool (ICT) le jour même où elle s'est produite, ce qui a permis à Ivanti de réagir efficacement et de développer rapidement un correctif », a déclaré l'entreprise dans un billet de blog. « Nous continuons à travailler en étroite collaboration avec les clients concernés, les partenaires de sécurité externes et les organismes chargés de l'application de la loi pour répondre à cette menace. Nous conseillons vivement à tous nos clients de surveiller de près leurs ICT internes et externes dans le cadre d'une approche robuste et multiniveau de la cybersécurité afin de garantir l'intégrité et la sécurité de l'ensemble de l'infrastructure du réseau. »

Mandiant et Microsoft en soutien

L'entreprise remercie Mandiant de Google et le Centre de renseignement sur les menaces de Microsoft (Microsoft Threat Intelligence Center, MSTIC) d'avoir collaboré à la réponse. Il est donc possible que des informations supplémentaires sur les attaques ayant exploité la vulnérabilité soient publiées ultérieurement par ces entreprises, comme cela s'est déjà produit par le passé. Ce n'est que la dernière des vulnérabilités affectant des produits Ivanti, exploitées dans la nature par des groupes APT au cours de l'année écoulée.

En février 2024, le gouvernement américain est allé jusqu'à ordonner aux agences de mettre hors ligne les VPN Ivanti. L'entreprise n'a pas publié les indicateurs de compromission observés pour ce dernier exploit, mais elle a précisé que ces informations seraient partagées sur demande avec les clients ayant détecté une compromission avec l’outil ICT.