CERTFR-2024-ALE-001
Vulnerability from certfr_alerte

[Mise à jour du 4 mars 2024] Ivanti a publié le 29 février des recommandations de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].

[Mise à jour du 15 février 2024] l'éditeur a publié le 15 février des correctifs pour les versions suivantes, qui n'en disposaient pas encore jusque-là :

  • Ivanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1
  • Ivanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

La publication des premières vulnérabilités a fait suite à la découverte par l'éditeur de leur exploitation ciblée, probablement depuis 2023. L'exploitation de ces vulnérabilités aurait permis aux attaquants de se latéraliser et de récupérer des identifiants sur les équipements Ivanti compromis. Ensuite, des codes d'exploitation, puis de nouvelles vulnérabilités, ont été publiés mi-janvier. L'ensemble de ces vulnérabilités est exploité massivement.

Le 08 février 2024, Ivanti a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-22024, affectant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le détail des versions vulnérables est disponible dans la section solution. Elle permet à un attaquant non authentifié d'accéder à des ressources restreintes. Les chercheurs ayant découvert cette vulnérabilité ont publié une preuve de concept.

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

[Mise à jour du 02 février 2024] Correctifs disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la procédure.

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

[Version du 31 janvier 2024] Ajout d’informations sur les correctifs et des nouvelles vulnérabilités

L'éditeur a publié des informations concernant deux nouvelles vulnérabilités. La vulnérabilité CVE-2024-21888 permet une élévation de privilège sur le composant web. La vulnérabilité CVE-2024-21893 permet à un attaquant non authentifié de forger des requêtes côté serveur (SSRF) au travers du composant SAML. Cette dernière est activement exploitée.

Des correctifs sont disponibles, veuillez vous référer à la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l'outil ICT même si la version externe est utilisée.

[Version du 23 janvier 2024]

Des acteurs malveillants exploitent massivement les vulnérabilités dans le but d’extorquer les comptes et les mots de passe ayant pu transiter sur les équipements vulnérables.

La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.

Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d'attaques ciblées. Le CERT-FR a connaissance de nombreux équipements compromis. Différentes sources ont mentionné l'exploitation de ces vulnérabilités afin de mettre en place des méthodes de persistance sur l'équipement [1][3].

Des codes d'exploitations publics sont disponibles sur Internet afin d'exploiter les deux vulnérabilités à la suite.

Détection

[Version du 23 janvier 2024]

Pour savoir si vous êtes concernés par ces attaques, le CERT-FR vous propose les actions suivantes :

  1. Exécuter le script Integrity Check Tool publié par IVANTI [5] sur tous les équipements composant la grappe (cluster). En cas de résultats non nuls aux étapes 8 et 9, l’équipement est compromis ;

  2. L'attaquant peut tenter de contourner les contrôles effectués par l'ICT, il est donc également nécessaire de rechercher dans les journaux toute trace des marqueurs publiés par les sources publiques [1] [3] [11] [12] [13] [14]. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.

En cas de détection positive :

  1. Réaliser un gel de données (instantanés pour les Appliances virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.

  2. Signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métiers. Le CERT-FR vous recontactera si nécessaire pour le traitement de l’incident ou vous communiquera des éléments supplémentaires.

Par ailleurs, le CERT-FR réalise régulièrement des scans à partir des IP mentionnées dans la page associée [6] et contacte les entités identifiées comme vulnérables ou compromises.

Contournement provisoire

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

Suite à la mise à jour de la documentation de l'éditeur ainsi que de la mise à disposition de nouveaux correctifs, la procédure à suivre a été déplacée dans la section Solution.

[Mise à jour du 31 janvier 2024] Ajout d'informations sur la nouvelle mesure de contournement

L'éditeur a publié une nouvelle mesure de contournement mitigation.release.20240126.5.xml [15]. Celle-ci permet de se prémunir des vulnérabilités CVE-2024-21888 et CVE-2024-21893 ainsi que des vulnérabilités CVE-2023-46805 et CVE-2024-21887.

Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.

[Version du 23 Janvier 2024]

L’éditeur indique avoir connaissance d'exploitations publiques sur internet et une exploitation en masse des deux vulnérabilités à la suite. Tout équipement dont le contournement provisoire initial (import du fichier xml) n'aurait pas déjà été appliqué doit être considéré comme compromis.
Si les résultats de l’ICT indiquent une compromission (résultats non nuls aux étapes 8 et 9) ou si le contournement provisoire initial (import du fichier xml) n’a pas été réalisé, le CERT-FR recommande fortement de suivre la procédure documentée par l'éditeur [4] pour la remise en production d'un équipement compromis.

 

Recommandations supplémentaires du cert-fr

Du fait de la compromission des équipements et de la possibilité que l'attaquant ait injecté du code malveillant afin de récupérer des noms d'utilisateur et des mots de passe, le CERT-FR recommande de :

  1. Réinitialiser tous les secrets (de façon générale) configurés sur les équipements affectés ;
  2. Réinitialiser tous les secrets d’authentification susceptibles d’avoir transités sur les équipements affectés ;
  3. Rechercher toutes traces de latéralisation sur le reste du système d’information.

Solution

[Mise à jour du 4 mars 2024] Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en état d'usine mais plutôt repartir d'une image (template).

Procédure de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :

  1. Effectuer une sauvegarde de la configuration
  2. Deployer une nouvelle machine à partir d'une image (template) du site de l'éditeur
  3. Restaurer la configuration à partir de la sauvegarde
  4. Effectuer une rotation des secrets

[Mise à jour du 15 février 2024] Publication de nouveaux correctifs sécurité. Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 pour les produits suivants :

  • Ivanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2
  • Ivanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1
  • ZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

Si un patch a été appliqué avec les versions du 31/01 au 01/02, le CERT-FR recommande d'effectuer les actions suivantes avant l'application du correctif :

  • Effectuer une sauvegarde
  • Effectuer un scan de l'ICS externe
    • En cas de scan positif à l'ICS externe avant la mise à jour, la remise en état d'usine est nécessaire.

Ensuite, une fois le correctif appliqué, si une remise à la configuration d'usine (Factory Reset) a déjà été effectuée lors de l'application du correctif du 31 janvier ou 01 février, l'éditeur indique qu'une nouvelle remise à la configuration d'usine n'est pas nécessaire.

Enfin, pour les équipements vulnérables ne bénéficiant pas encore de correctif, l'éditeur recommande d'appliquer la mesure de contournement publiée le 31 janvier (fichier mitigation.release.20240126.5.xml).

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

Recommandation additionnelle pour les configurations en grappe (clusters) :

Se référer à la documentation de l’éditeur à la section « Additionnal Detail for Recovering Clusters »

https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US

[Mise à jour du 02 février 2024] L'éditeur continue de publier des versions correctives. Des correctifs sont désormais disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

L'éditeur a publié des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].

La procédure suivante, proposée par l'éditeur, peut être suivie quelle que soit la disponibilité du correctif pour l'équipement. En cas d'indisponibilité d'un correctif, le fichier de contournement doit être installé.

  1. Sauvegarder la configuration de l’équipement ;
  2. Effectuer une remise à la configuration de sortie d'usine (Factory Reset) ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible :
    • la procédure est documentée dans le bulletin de l'éditeur [7],
    • Une montée de version va supprimer/écraser les fichiers ajoutés/modifiés par l’attaquant,
    • Les versions des firmwares peuvent être téléchargées sur la page de l'éditeur [8],
    • NOTE : Un retour arrière (rollback) sur la version compromise va rendre le boîtier vulnérable. Deux montées de version suppriment la version compromise puisqu’une seule version de rollback est conservée sur l’équipement ;
  3. S'il n'est pas possible d'installer une version disposant du correctif, une fois la remise à la configuration de sortie d'usine terminée, effectuer une mise à jour vers la version installée précédemment ;
  4. Restaurer la configuration de l’équipement à partir de la sauvegarde : [9] [10] ;
  5. Révoquer et réémettre tous les certificats présents sur les équipements affectés :
    • Certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur),
    • Certificats de signature de code et les certificats TLS pour l’interface exposée ;
  6. Réinitialiser le mot de passe d'administration ;
  7. Réinitialiser les clés d’API stockées sur l’équipement ;
  8. Réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification.
  9. Réinitialiser les authentifications des serveurs de licence ;
  10. Si votre micrologiciel n’est pas sur une version corrigée, Installer le fichier de contournement (fichier .xml) sur l’équipement sain. Sinon, l’installation du fichier xml n’est pas nécessaire.

Une fois le contournement installé, plus aucune configuration ne doit être poussée sur l'équipement jusqu'à l'application du correctif de sécurité. En effet, l'éditeur indique que cela entraîne le malfonctionnement de certains services internes ce qui conduit à rendre le contournement inefficace.

L'utilisation de mesures de contournement n'est pas nécessaire après la mise à jour de l'équipement vers une version non vulnérable. L'éditeur propose un outil de suppression de contournement si ce dernier a été appliqué avant la mise à jour.

Impacted products
Vendor Product Description
Ivanti N/A Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions
Ivanti N/A Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connecté à un contrôleur ZTA
Ivanti N/A Ivanti Policy Secure gateways (IPS) toutes versions
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d\u0027installation et non connect\u00e9 \u00e0 un contr\u00f4leur ZTA",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Ivanti Policy Secure gateways (IPS) toutes versions",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-04-15",
  "content": "\u003ch2\u003eContournement provisoire\u003c/h2\u003e\n\u003cp\u003e\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/span\u003e\u003c/p\u003e \u003cp\u003eSuite \u00e0 la mise \u00e0 jour de la documentation de l\u0027\u00e9diteur ainsi que de la mise \u00e0 disposition de nouveaux correctifs, la proc\u00e9dure \u00e0 suivre a \u00e9t\u00e9 d\u00e9plac\u00e9e dans la section Solution.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 31 janvier 2024] \u003c/strong\u003eAjout d\u0027informations sur la nouvelle mesure de contournement\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 une nouvelle mesure de contournement \u003cspan class=\"test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld\" data-aura-rendered-by=\"27:298;a\"\u003e \u003cem\u003emitigation.release.20240126.5.xml\u003c/em\u003e [15]. Celle-ci permet de se pr\u00e9munir des vuln\u00e9rabilit\u00e9s CVE-2024-21888 et CVE-2024-21893 ainsi que des vuln\u00e9rabilit\u00e9s CVE-2023-46805 et CVE-2024-21887.\u003c/span\u003e\u003c/p\u003e \u003cp\u003eDes correctifs sont pr\u00e9sent\u00e9s dans la section Solution, la mesure de contournement ne doit \u00eatre appliqu\u00e9e que si les correctifs ne sont pas disponibles pour les produits concern\u00e9s.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 Janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eL\u2019\u00e9diteur indique avoir connaissance d\u0027exploitations publiques sur internet et une exploitation en masse des deux vuln\u00e9rabilit\u00e9s \u00e0 la suite. Tout \u00e9quipement dont le contournement provisoire initial (import du fichier \u003cem\u003exml\u003c/em\u003e) n\u0027aurait pas d\u00e9j\u00e0 \u00e9t\u00e9 appliqu\u00e9 doit \u00eatre consid\u00e9r\u00e9 comme compromis.\u003cbr/\u003e Si les r\u00e9sultats de l\u2019\u003cstrong\u003eICT indiquent une compromission\u003c/strong\u003e (r\u00e9sultats non nuls aux \u00e9tapes 8 et 9) ou si le contournement provisoire initial (import du fichier \u003cem\u003exml\u003c/em\u003e) n\u2019a pas \u00e9t\u00e9 r\u00e9alis\u00e9, le CERT-FR recommande fortement de suivre la proc\u00e9dure document\u00e9e par l\u0027\u00e9diteur [4] pour la remise en production d\u0027un \u00e9quipement compromis.\u003c/p\u003e \u003cp\u003e\u00a0\u003c/p\u003e \u003ch2\u003eRecommandations suppl\u00e9mentaires du cert-fr\u003c/h2\u003e \u003cp\u003eDu fait de la compromission des \u00e9quipements et de la possibilit\u00e9 que l\u0027attaquant ait inject\u00e9 du code malveillant afin de r\u00e9cup\u00e9rer des noms d\u0027utilisateur et des mots de passe, le CERT-FR recommande de\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser tous les secrets\u003c/strong\u003e (de fa\u00e7on g\u00e9n\u00e9rale) \u003cu\u003econfigur\u00e9s sur les \u00e9quipements affect\u00e9s ;\u003cbr/\u003e \u003c/u\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser tous les secrets d\u2019authentification\u003c/strong\u003e \u003cu\u003esusceptibles d\u2019avoir transit\u00e9s sur les \u00e9quipements affect\u00e9s ;\u003cbr/\u003e \u003c/u\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eRechercher toutes traces de lat\u00e9ralisation\u003c/strong\u003e sur le reste du syst\u00e8me d\u2019information.\u003c/li\u003e \u003c/ol\u003e \n\n\u003ch2\u003eSolution\u003c/h2\u003e\n\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 4 mars 2024]\u003c/strong\u003e Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en \u00e9tat d\u0027usine mais plut\u00f4t repartir d\u0027une image (\u003cem\u003etemplate\u003c/em\u003e).\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003eProc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :\u003c/span\u003e\u003c/p\u003e \u003col style=\"color: #ff0000;\"\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eEffectuer une sauvegarde de la configuration\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eDeployer une nouvelle machine \u00e0 partir d\u0027une image (\u003cem\u003etemplate\u003c/em\u003e) du site de l\u0027\u00e9diteur\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eRestaurer la configuration \u00e0 partir de la sauvegarde\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #ff0000;\"\u003eEffectuer une rotation des secrets\u003c/span\u003e\u003c/li\u003e \u003c/ol\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 f\u00e9vrier 2024] \u003c/strong\u003eP\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eublication de nouveaux correctifs s\u00e9curit\u00e9. Ivanti a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9 CVE-2024-22024 pour les produits suivants :\u003c/span\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003eIvanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2\u003c/li\u003e \u003cli\u003eIvanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1\u003c/li\u003e \u003cli\u003eZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cbr/\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003eSi un patch a \u00e9t\u00e9 appliqu\u00e9 avec les versions du 31/01 au 01/02, le CERT-FR recommande d\u0027effectuer les actions suivantes avant l\u0027application du correctif\u00a0:\u003c/p\u003e \u003cul\u003e \u003cli\u003eEffectuer une sauvegarde\u003c/li\u003e \u003cli\u003eEffectuer un scan de l\u0027ICS externe \u003cul\u003e \u003cli\u003eEn cas de scan positif \u00e0 l\u0027ICS externe avant la mise \u00e0 jour, la remise en \u00e9tat d\u0027usine est n\u00e9cessaire.\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003c/ul\u003e \u003cp\u003eEnsuite,\u003cstrong\u003e une fois le correctif appliqu\u00e9\u003c/strong\u003e, si \u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eune remise \u00e0 la configuration d\u0027usine (\u003cem\u003e\u003cstrong\u003eFactory Reset\u003c/strong\u003e\u003c/em\u003e) a d\u00e9j\u00e0 \u00e9t\u00e9 effectu\u00e9e lors de l\u0027application du correctif du 31 janvier ou 01 f\u00e9vrier, l\u0027\u00e9diteur indique qu\u0027une nouvelle remise \u00e0 la configuration d\u0027usine n\u0027est pas n\u00e9cessaire.\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eEnfin, pour les \u00e9quipements vuln\u00e9rables ne b\u00e9n\u00e9ficiant pas encore de correctif, l\u0027\u00e9diteur recommande d\u0027appliquer la mesure de contournement publi\u00e9e le 31 janvier (fichier mitigation.release.20240126.5.xml).\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe\u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u003cstrong\u003eRecommandation additionnelle pour les configurations en grappe (clusters) :\u003c/strong\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eSe r\u00e9f\u00e9rer \u00e0 la documentation de l\u2019\u00e9diteur \u00e0 la section \u00ab Additionnal Detail for Recovering Clusters \u00bb \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u003ca class=\"linkified\" href=\"https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US\" rel=\"noreferrer noopener\" target=\"_blank\"\u003ehttps://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US\u003c/a\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 02 f\u00e9vrier 2024] \u003c/strong\u003eL\u0027\u00e9diteur continue de publier des versions correctives. Des correctifs sont d\u00e9sormais disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].\u003c/p\u003e \u003cp\u003eLa proc\u00e9dure suivante, propos\u00e9e par l\u0027\u00e9diteur, peut \u00eatre suivie quelle que soit la disponibilit\u00e9 du correctif pour l\u0027\u00e9quipement. En cas d\u0027indisponibilit\u00e9 d\u0027un correctif, le fichier de contournement doit \u00eatre install\u00e9.\u003c/p\u003e \u003col\u003e \u003cli\u003e\u003cstrong\u003eSauvegarder la configuration de l\u2019\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003e\u00e9quipement\u003c/span\u003e ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cspan style=\"color: #000000;\"\u003eEffectuer une remise \u00e0 la configuration de sortie d\u0027usine (\u003cem\u003e\u003cstrong\u003eFactory Reset\u003c/strong\u003e\u003c/em\u003e) \u003cstrong\u003eET\u003c/strong\u003e proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel\u003cem\u003e (firmware\u003c/em\u003e) si le correctif est disponible :\u003c/span\u003e\u003cem\u003e\u003cbr/\u003e \u003c/em\u003e \u003cul\u003e \u003cli\u003ela proc\u00e9dure est document\u00e9e dans le bulletin de l\u0027\u00e9diteur [7],\u003c/li\u003e \u003cli\u003eUne mont\u00e9e de version va supprimer/\u00e9craser les fichiers ajout\u00e9s/modifi\u00e9s par l\u2019attaquant,\u003c/li\u003e \u003cli\u003eLes versions des firmwares peuvent \u00eatre t\u00e9l\u00e9charg\u00e9es sur la page de l\u0027\u00e9diteur [8],\u003c/li\u003e \u003cli\u003eNOTE\u00a0: Un retour arri\u00e8re (\u003cem\u003erollback\u003c/em\u003e) sur la version compromise va rendre le bo\u00eetier vuln\u00e9rable. Deux mont\u00e9es de version suppriment la version compromise puisqu\u2019une seule version de \u003cem\u003erollback\u003c/em\u003e est conserv\u00e9e sur l\u2019\u00e9quipement ;\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003eS\u0027il n\u0027est pas possible d\u0027installer une version disposant du correctif, une fois la remise\u00a0\u00e0 la configuration de sortie d\u0027usine termin\u00e9e, \u003cstrong\u003eeffectuer une mise \u00e0 jour vers la version install\u00e9e \u003cem\u003epr\u00e9c\u00e9demment \u003c/em\u003e\u003c/strong\u003e;\u003c/li\u003e \u003cli\u003eRestaurer la configuration de l\u2019\u00e9quipement \u00e0 partir de la sauvegarde : [9] [10] ; \u003cul\u003e \u003cli\u003eSi vous avez appliqu\u00e9 la mesure de contournement XML et que vous avez appliqu\u00e9 la version corrig\u00e9e du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : \u003ca class=\"linkified\" href=\"https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-anownload-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887\" rel=\"noreferrer noopener\" target=\"_blank\"\u003ehttps://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887\u003c/a\u003e)\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9voquer et r\u00e9\u00e9mettre\u003c/strong\u003e tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s : \u003cul\u003e \u003cli\u003eCertificats utilis\u00e9s pour les machines et/ou pour l\u2019authentification utilisateur (cot\u00e9 client et serveur),\u003c/li\u003e \u003cli\u003eCertificats de signature de code et les certificats TLS pour l\u2019interface expos\u00e9e ;\u003c/li\u003e \u003c/ul\u003e \u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser le mot de passe d\u0027administration ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les mots de passe de tout compte local\u003c/strong\u003e d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification.\u003c/li\u003e \u003cli\u003e\u003cstrong\u003eR\u00e9initialiser les authentifications des serveurs de licence ;\u003cbr/\u003e \u003c/strong\u003e\u003c/li\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\" style=\"color: #000000;\"\u003e\u003cstrong\u003eSi votre micrologiciel n\u2019est pas sur une version corrig\u00e9e, Installer le fichier de contournement \u003c/strong\u003e(fichier .xml) sur l\u2019\u00e9quipement sain. Sinon, l\u2019installation du fichier xml n\u2019est pas n\u00e9cessaire.\u003c/span\u003e\u003c/li\u003e \u003c/ol\u003e \u003cp\u003e\u003cstrong\u003eUne fois le contournement install\u00e9, plus aucune configuration ne doit \u00eatre pouss\u00e9e sur l\u0027\u00e9quipement jusqu\u0027\u00e0 l\u0027application du correctif de s\u00e9curit\u00e9. En effet, l\u0027\u00e9diteur indique que cela entra\u00eene le malfonctionnement de certains services internes ce qui conduit \u00e0 rendre le contournement inefficace.\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eL\u0027utilisation de mesures de contournement n\u0027est pas n\u00e9cessaire apr\u00e8s la mise \u00e0 jour de l\u0027\u00e9quipement vers une \u003cstrong\u003eversion non vuln\u00e9rable\u003c/strong\u003e. L\u0027\u00e9diteur propose un outil de suppression de contournement si ce dernier a \u00e9t\u00e9 appliqu\u00e9 avant la mise \u00e0 jour.\u003c/p\u003e ",
  "cves": [
    {
      "name": "CVE-2023-46805",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-46805"
    },
    {
      "name": "CVE-2024-21887",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21887"
    },
    {
      "name": "CVE-2024-21893",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21893"
    },
    {
      "name": "CVE-2024-21888",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-21888"
    },
    {
      "name": "CVE-2024-22024",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-22024"
    }
  ],
  "initial_release_date": "2024-01-11T00:00:00",
  "last_revision_date": "2024-04-15T00:00:00",
  "links": [
    {
      "title": "[15] Portail de t\u00e9l\u00e9chargement de l\u0027\u00e9diteur",
      "url": "https://forums.ivanti.com/s/product-downloads"
    },
    {
      "title": "[6] Page du CERT-FR relative aux scans",
      "url": "https://www.cert.ssi.gouv.fr/scans/"
    },
    {
      "title": "[13] Liste d\u0027indicateurs de compromission publi\u00e9e par HarfangLab du 22 janvier 2024",
      "url": "https://raw.githubusercontent.com/HarfangLab/iocs/main/iv_lastauthserverused_js/20240122_lastauthserverused_js.txt"
    },
    {
      "title": "[4] Bulletin technique Ivanti du 16 janvier mis \u00e0 jour le 19 janvier 2024",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"
    },
    {
      "title": "[14] Alerte de s\u00e9curit\u00e9 de JPCert du 11 janvier 2024",
      "url": "https://www.jpcert.or.jp/at/2024/at240002.html"
    },
    {
      "title": "D\u00e9tails de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "url": "https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"
    },
    {
      "title": "[9] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es",
      "url": "https://forums.ivanti.com/s/article/KB44759"
    },
    {
      "title": "[16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool",
      "url": "https://www.ivanti.com/blog/enhanced-external-integrity-checking-tool-to-provide-additional-visibility-and-protection-for-customers-against-evolving-threat-actor-techniques-in-relation-to-previously-disclosed-vulnerabilities"
    },
    {
      "title": "[5] Bulletin technique Ivanti relatif \u00e0 Integrity Check Tool",
      "url": "https://forums.ivanti.com/s/article/KB44755"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0085/"
    },
    {
      "title": "[11] Publication Twitter du 22 janvier 2024",
      "url": "https://twitter.com/felixaime/status/1749454051601776979"
    },
    {
      "title": "[7] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l\u0027\u00e9quipement",
      "url": "https://forums.ivanti.com/s/article/KB22964"
    },
    {
      "title": "[3] Billet de blogue Mandiant du 12 janvier 2024",
      "url": "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
    },
    {
      "title": "[2] Les bons r\u00e9flexes en cas d\u0027intrusion sur un syst\u00e8me d\u0027information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[1] Billet de blogue Volexity du 10 janvier 2024",
      "url": "https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/"
    },
    {
      "title": "Recommandation suppl\u00e9mentaires pour les configurations en grappe",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti du 08 f\u00e9vrier 2024",
      "url": "https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"
    },
    {
      "title": "[10] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es",
      "url": "https://forums.ivanti.com/s/article/KB44172"
    },
    {
      "title": "[8] Bulletin technique Ivanti relatif au t\u00e9l\u00e9chargement des firmwares",
      "url": "https://forums.ivanti.com/s/article/Post-Factory-Reset-Legacy-Package-Download"
    },
    {
      "title": "Avis CERT-FR CERTFR-2024-AVI-0109 du 09 f\u00e9vrier 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0109/"
    },
    {
      "title": "[12] Billet de blogue Volexity du 18 janvier 2024",
      "url": "https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/"
    }
  ],
  "reference": "CERTFR-2024-ALE-001",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-01-11T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations",
      "revision_date": "2024-01-17T00:00:00.000000"
    },
    {
      "description": "MaJ ordre de la mise en oeuvre des mesures de contournement",
      "revision_date": "2024-01-19T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour des recommandations CERT-FR",
      "revision_date": "2024-01-23T00:00:00.000000"
    },
    {
      "description": "Information sur les correctifs et les nouvelles vuln\u00e9rabilit\u00e9s",
      "revision_date": "2024-01-31T00:00:00.000000"
    },
    {
      "description": "Fusion de la partie solution et contournement provisoire",
      "revision_date": "2024-02-01T00:00:00.000000"
    },
    {
      "description": "Nouveaux correctifs disponibles et clarification de la proc\u00e9dure",
      "revision_date": "2024-02-02T00:00:00.000000"
    },
    {
      "description": "Ajout de recommandations pour une configuration en grappe",
      "revision_date": "2024-02-05T00:00:00.000000"
    },
    {
      "description": "Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024",
      "revision_date": "2024-02-09T00:00:00.000000"
    },
    {
      "description": "Nouveaux correctifs disponibles",
      "revision_date": "2024-02-15T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027une proc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle",
      "revision_date": "2024-03-04T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 4 mars 2024]\u003c/strong\u003e Ivanti a publi\u00e9 le 29 f\u00e9vrier des recommandations de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].\u003cbr /\u003e \u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 f\u00e9vrier 2024] \u003c/strong\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003el\u0027\u00e9diteur a publi\u00e9 le 15 f\u00e9vrier des correctifs pour les versions suivantes, qui n\u0027en disposaient pas encore jusque-l\u00e0 :\u003c/span\u003e\u003cstrong\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eIvanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1\u003c/span\u003e\u003c/li\u003e \u003cli\u003e\u003cspan class=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eIvanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1\u003c/span\u003e\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eLa publication des premi\u00e8res vuln\u00e9rabilit\u00e9s a fait suite \u00e0 la d\u00e9couverte par l\u0027\u00e9diteur de leur exploitation cibl\u00e9e, probablement depuis 2023. L\u0027exploitation de ces vuln\u00e9rabilit\u00e9s aurait permis aux attaquants de se lat\u00e9raliser et de r\u00e9cup\u00e9rer des identifiants sur les \u00e9quipements Ivanti compromis. Ensuite, des codes d\u0027exploitation, puis de nouvelles vuln\u00e9rabilit\u00e9s, ont \u00e9t\u00e9 publi\u00e9s mi-janvier. L\u0027ensemble de ces vuln\u00e9rabilit\u00e9s est exploit\u00e9 massivement.\u003c/span\u003e\u003c/p\u003e \u003cp\u003eLe 08 f\u00e9vrier 2024, Ivanti a publi\u00e9 un bulletin de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 \u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eCVE-2024-22024, affectant les produits \u003c/span\u003e\u003cspan class=\"test-id__field-value slds-form-element__static slds-grow slds-form-element_separator is-read-only iv-cad-fld\" data-aura-rendered-by=\"34:347;a\"\u003e\u003cspan data-aura-rendered-by=\"35:347;a\"\u003eIvanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le d\u00e9tail des versions vuln\u00e9rables est disponible dans la section solution. Elle permet \u00e0 un attaquant non authentifi\u00e9 d\u0027acc\u00e9der \u00e0 des ressources restreintes. Les chercheurs ayant d\u00e9couvert cette vuln\u00e9rabilit\u00e9 ont publi\u00e9 une preuve de concept.\u003cbr /\u003e \u003c/span\u003e\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe\u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 02 f\u00e9vrier 2024] Correctifs disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la proc\u00e9dure.\u003cbr /\u003e \u003c/strong\u003e\u003c/p\u003e \u003cp\u003e\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e[Mise \u00e0 jour du 01 f\u00e9vrier 2024]\u003c/strong\u003e Fusion de la partie solution et contournement provisoire\u003c/span\u003e\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 31 janvier 2024]\u003c/strong\u003e Ajout d\u2019informations sur les correctifs et des nouvelles vuln\u00e9rabilit\u00e9s\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur a publi\u00e9 des informations concernant deux nouvelles vuln\u00e9rabilit\u00e9s. La vuln\u00e9rabilit\u00e9 CVE-2024-21888 permet une \u00e9l\u00e9vation de privil\u00e8ge sur le composant web. La vuln\u00e9rabilit\u00e9 CVE-2024-21893 permet \u00e0 un attaquant non authentifi\u00e9 de forger des requ\u00eates c\u00f4t\u00e9 serveur (SSRF) au travers du composant SAML. Cette derni\u00e8re est activement exploit\u00e9e.\u003c/p\u003e \u003cp\u003eDes correctifs sont disponibles, veuillez vous r\u00e9f\u00e9rer \u00e0 la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l\u0027outil ICT m\u00eame si la version externe est utilis\u00e9e.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp\u003eDes acteurs malveillants exploitent massivement les vuln\u00e9rabilit\u00e9s dans le but d\u2019extorquer les comptes et les mots de passe ayant pu transiter sur les \u00e9quipements vuln\u00e9rables.\u003c/p\u003e \u003cp\u003eLa vuln\u00e9rabilit\u00e9 CVE-2023-46805 permet \u00e0 un attaquant de contourner l\u0027authentification, tandis que la vuln\u00e9rabilit\u00e9 CVE-2024-21887 permet \u00e0 un administrateur distant et authentifi\u00e9 d\u0027ex\u00e9cuter des commandes arbitraires. Un attaquant qui exploite ces deux vuln\u00e9rabilit\u00e9s peut par cons\u00e9quent prendre le contr\u00f4le complet de l\u2019\u00e9quipement.\u003c/p\u003e \u003cp\u003eIvanti indique que ces vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es dans le cadre d\u0027attaques cibl\u00e9es. Le CERT-FR a connaissance de nombreux \u00e9quipements compromis. Diff\u00e9rentes sources ont mentionn\u00e9 l\u0027exploitation de ces vuln\u00e9rabilit\u00e9s afin de mettre en place des m\u00e9thodes de persistance sur l\u0027\u00e9quipement [1][3].\u003c/p\u003e \u003cp\u003eDes codes d\u0027exploitations publics sont disponibles sur Internet afin d\u0027exploiter les deux vuln\u00e9rabilit\u00e9s \u00e0 la suite.\u003c/p\u003e \u003ch2\u003eD\u00e9tection\u003c/h2\u003e \u003cp\u003e\u003cstrong\u003e[Version du 23 janvier 2024]\u003c/strong\u003e\u003c/p\u003e \u003cp align=\"justify\"\u003ePour savoir si vous \u00eates concern\u00e9s par ces attaques, le CERT-FR vous propose les actions suivantes\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eEx\u00e9cuter le script \u003ci\u003eIntegrity Check Tool \u003c/i\u003epubli\u00e9 par IVANTI [5] sur tous les \u00e9quipements composant la grappe (\u003ci\u003ecluster)\u003c/i\u003e. En cas de r\u00e9sultats non nuls aux \u00e9tapes 8 et 9, l\u2019\u00e9quipement est compromis ;\u003c/p\u003e \u003c/li\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eL\u0027attaquant peut tenter de contourner les contr\u00f4les effectu\u00e9s par l\u0027\u003cem\u003eICT\u003c/em\u003e, il est donc \u00e9galement n\u00e9cessaire de rechercher dans les journaux toute trace des marqueurs publi\u00e9s par les sources publiques [1] [3] [11] [12] [13] [14]\u003cem\u003e. Note : Ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.\u003cbr /\u003e \u003c/em\u003e\u003c/p\u003e \u003c/li\u003e \u003c/ol\u003e \u003cp align=\"justify\"\u003eEn cas de d\u00e9tection positive\u00a0:\u003c/p\u003e \u003col\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eR\u00e9aliser un gel de donn\u00e9es (instantan\u00e9s pour les \u003ci\u003eAppliances\u003c/i\u003e virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique). Une fois le gel des donn\u00e9es effectu\u00e9 ou en cas d\u2019impossibilit\u00e9 de maintenir un isolement des \u00e9quipements physiques, proc\u00e9der aux mesures de contournements et recommandations mentionn\u00e9es dans la section suivante.\u003c/p\u003e \u003c/li\u003e \u003cli\u003e \u003cp align=\"justify\"\u003eSignaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRT m\u00e9tiers. Le CERT-FR vous recontactera si n\u00e9cessaire pour le traitement de l\u2019incident ou vous communiquera des \u00e9l\u00e9ments suppl\u00e9mentaires.\u003c/p\u003e \u003c/li\u003e \u003c/ol\u003e \u003cp align=\"justify\"\u003ePar ailleurs, le CERT-FR r\u00e9alise r\u00e9guli\u00e8rement des scans \u00e0 partir des IP mentionn\u00e9es dans la page associ\u00e9e [6] et contacte les entit\u00e9s identifi\u00e9es comme vuln\u00e9rables ou compromises.\u003c/p\u003e ",
  "title": "[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Ivanti Connect Secure et Policy Secure Gateways",
  "vendor_advisories": [
    {
      "published_at": "2024-01-10",
      "title": "[0] Bulletin de s\u00e9curit\u00e9 Ivanti 000090123",
      "url": "https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.