CERTFR-2025-ALE-001
Vulnerability from certfr_alerte

Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d'identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Ivanti indique que cette vulnérabilité est activement exploitée.

Solutions

[Mise à jour du 01 avril 2025]

La CISA [5] fournit des indicateurs de compromission ainsi qu'une règle de détection YARA, servant à déterminer si un équipement est compromis par le maliciel RESURGE.
Note : Ces éléments n'ont pas été qualifiés par le CERT-FR.

[Mise à jour du 14 janvier 2025]

L'éditeur a indiqué avoir publié une nouvelle version externe de l'outil Integrity Check Tool, ICT-V22725 (build 3819), compatible avec les versions 22.x R2.

[Publication initiale]

Les étapes suivantes doivent être suivies indépendamment d'une mise à jour précédemment réalisée vers une version corrective. Dans son billet de blogue [3], Mandiant précise avoir observé une compromission du processus de mise à jour de l'équipement.

  • En cas d'utilisation d'une appliance virtuelle, réaliser un instantané ;
  • Exécuter les versions internes et externes du script Integrity Check Tool (ICT) publié par Ivanti :
    • l'éditeur indique que la dernière version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ultérieures. Il est donc nécessaire d'utiliser une version antérieure de l'outil ;
    • il est nécessaire d'exécuter la version externe d'ICT même en cas de résultat négatif de l'outil interne ;
    • dans son billet de blogue [3], Mandiant précise qu'il est nécessaire de vérifier que l'ensemble des étapes de l'outil sont réalisées (dix étapes) et de ne pas se fier uniquement au résultat final présenté.

  • Effectuer une recherche de compromission au niveau de l'équipement :

    • effectuer une recherche sur les indicateurs de compromissions présentés par Mandiant [3] ;
      Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
    • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
      • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
      • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.

  • Si aucune mise à jour correctrice n'est disponible, l'équipement est à risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.

  • En cas d'absence de compromission :

    • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
    • surveiller l'activité des comptes et des services liés à l'équipement, notamment le compte de service LDAP, si celui a été configuré.

  • En cas de compromission détectée :

    • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [4] ;
    • isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement ;
    • effectuer une remise à la configuration de sortie d'usine (Factory Reset) [1] ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
      • si aucune mise à jour correctrice n'est disponible, contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
    • suivre les étapes listées dans le bulletin technique d'Ivanti [2] et en particulier :
      • révoquer et réémettre tous les certificats présents sur les équipements affectés :
        • certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
        • certificats de signature de code et les certificats TLS pour l’interface exposée.
      • réinitialiser le mot de passe d'administration ;
      • réinitialiser les clés d’API stockées sur l’équipement ;
      • réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;
        • révoquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilisés.
      • réinitialiser les authentifications des serveurs de licence.

L'éditeur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.

Impacted products
Vendor Product Description
Ivanti Neurons for Zero Trust Access (ZTA) gateways Neurons for ZTA gateways versions 22.7R2.x antérieures à 22.7R2.5.
Ivanti Policy Secure (IPS) Policy Secure (IPS) toutes versions 22.7R1.x
Ivanti Connect Secure (ICS) Connect Secure (ICS) versions 22.7R2.x antérieures à 22.7R2.5
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Neurons for ZTA gateways versions 22.7R2.x ant\u00e9rieures \u00e0 22.7R2.5.",
      "product": {
        "name": "Neurons for Zero Trust Access (ZTA) gateways",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Policy Secure (IPS) toutes versions 22.7R1.x",
      "product": {
        "name": "Policy Secure (IPS)",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    },
    {
      "description": "Connect Secure (ICS) versions 22.7R2.x ant\u00e9rieures \u00e0 22.7R2.5",
      "product": {
        "name": "Connect Secure (ICS)",
        "vendor": {
          "name": "Ivanti",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "L\u0027\u00e9diteur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.",
  "closed_at": "2025-05-07",
  "content": "## Solutions\n\n\u003cspan class=\"important-content\"\u003e**\\[Mise \u00e0 jour du 01 avril 2025\\]** \u003c/span\u003e\n\nLa CISA [5] fournit des indicateurs de compromission ainsi qu\u0027une r\u00e8gle de d\u00e9tection *YARA*, servant \u00e0 d\u00e9terminer si un \u00e9quipement est compromis par le maliciel *RESURGE*.\u003cbr /\u003e\n\u003cem\u003eNote : Ces \u00e9l\u00e9ments n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.\u003c/em\u003e\n\n**\\[Mise \u00e0 jour du 14 janvier 2025\\]**\n\nL\u0027\u00e9diteur a indiqu\u00e9 avoir publi\u00e9 une nouvelle version externe de l\u0027outil Integrity Check Tool, ICT-V22725 (build 3819), compatible avec les versions 22.x R2. \n\n**[Publication initiale]**\n\nLes \u00e9tapes suivantes doivent \u00eatre suivies ind\u00e9pendamment d\u0027une mise \u00e0 jour pr\u00e9c\u00e9demment r\u00e9alis\u00e9e vers une version corrective. Dans son billet de blogue [3], Mandiant pr\u00e9cise avoir observ\u00e9 une compromission du processus de mise \u00e0 jour de l\u0027\u00e9quipement.\n\n* En cas d\u0027utilisation d\u0027une appliance virtuelle, r\u00e9aliser un instantan\u00e9 ;\n* Ex\u00e9cuter les versions internes et externes du script Integrity Check Tool (ICT) publi\u00e9 par Ivanti : \n    * l\u0027\u00e9diteur indique que la derni\u00e8re version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ult\u00e9rieures. Il est donc n\u00e9cessaire d\u0027utiliser une version ant\u00e9rieure de l\u0027outil ;\n    * il est n\u00e9cessaire d\u0027ex\u00e9cuter la version externe d\u0027ICT m\u00eame en cas de r\u00e9sultat n\u00e9gatif de l\u0027outil interne ;\n    * dans son billet de blogue [3], Mandiant pr\u00e9cise qu\u0027il est n\u00e9cessaire de v\u00e9rifier que l\u0027ensemble des \u00e9tapes de l\u0027outil sont r\u00e9alis\u00e9es (dix \u00e9tapes) et de ne pas se fier uniquement au r\u00e9sultat final pr\u00e9sent\u00e9.\n* Effectuer une recherche de compromission au niveau de l\u0027\u00e9quipement :\n    * effectuer une recherche sur les indicateurs de compromissions pr\u00e9sent\u00e9s par Mandiant [3] ; \u003cbr\u003e*Note : Ces indicateurs n\u0027ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n    * rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n        * en cherchant les connexions ou tentatives de connexion vers Internet depuis l\u0027\u00e9quipement ;\n        * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n\n* Si aucune mise \u00e0 jour correctrice n\u0027est disponible, l\u0027\u00e9quipement est \u00e0 risque de compromission; contactez le service d\u0027assistance Ivanti et, dans la mesure du possible, d\u00e9connectez l\u0027\u00e9quipement d\u0027Internet.\n\n* En cas d\u0027absence de compromission :\n    * proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (*firmware*) si le correctif est disponible ;\n    * surveiller l\u0027activit\u00e9 des comptes et des services li\u00e9s \u00e0 l\u0027\u00e9quipement, notamment le compte de service LDAP, si celui a \u00e9t\u00e9 configur\u00e9.\n\n* En cas de compromission d\u00e9tect\u00e9e :\n    * signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information [4] ;\n    * isoler l\u0027\u00e9quipement du r\u00e9seau et sauvegarder les journaux li\u00e9s \u00e0 l\u0027\u00e9quipement ;\n    * effectuer une remise \u00e0 la configuration de sortie d\u0027usine (*Factory Reset*) [1] ET proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (*firmware*) si le correctif est disponible ;\n        * si aucune mise \u00e0 jour correctrice n\u0027est disponible, contactez le service d\u0027assistance Ivanti et, dans la mesure du possible, d\u00e9connectez l\u0027\u00e9quipement d\u0027Internet.\n    * suivre les \u00e9tapes list\u00e9es dans le bulletin technique d\u0027Ivanti [2] et en particulier :\n        * r\u00e9voquer et r\u00e9\u00e9mettre tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s :\n            * certificats utilis\u00e9s pour les machines et/ou pour l\u2019authentification utilisateur (cot\u00e9 client et serveur) ;\n            * certificats de signature de code et les certificats TLS pour l\u2019interface expos\u00e9e.\n        * r\u00e9initialiser le mot de passe d\u0027administration ;\n        * r\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;\n        * r\u00e9initialiser les mots de passe de tout compte local d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification ;\n            * r\u00e9voquer l\u0027ensemble des moyens d\u0027authentification (tickets Kerberos...) des comptes de services utilis\u00e9s.\n        * r\u00e9initialiser les authentifications des serveurs de licence.\n",
  "cves": [
    {
      "name": "CVE-2025-0282",
      "url": "https://www.cve.org/CVERecord?id=CVE-2025-0282"
    }
  ],
  "initial_release_date": "2025-01-09T00:00:00",
  "last_revision_date": "2025-05-07T00:00:00",
  "links": [
    {
      "title": "[3] Billet de blogue Mandiant du 08 janvier 2025",
      "url": "https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day"
    },
    {
      "title": "[1] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l\u0027\u00e9quipement",
      "url": "https://forums.ivanti.com/s/article/KB22964?language=en_US"
    },
    {
      "title": "Avis CERTFR-2025-AVI-0014 du 09 janvier 2025",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0014/"
    },
    {
      "title": "[2] Bulletin technique Ivanti relatif \u00e0 la rem\u00e9diation d\u0027un \u00e9quipement compromis",
      "url": "https://forums.ivanti.com/s/article/Recovery-Steps?language=en_US"
    },
    {
      "title": "[5] La CISA publie un rapport d\u0027analyse sur le logiciel malveillant RESURGE associ\u00e9 \u00e0 Ivanti Connect Secure ",
      "url": "https://www.cisa.gov/news-events/alerts/2025/03/28/cisa-releases-malware-analysis-report-resurge-malware-associated-ivanti-connect-secure"
    },
    {
      "title": "[4] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2025-ALE-001",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2025-01-09T00:00:00.000000"
    },
    {
      "description": "     Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2025-05-07T00:00:00.000000"
    },
    {
      "description": "Ajout de pr\u00e9cisions concernant l\u0027outil Integrity Check Tool",
      "revision_date": "2025-01-14T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027une r\u00e9f\u00e9rence d\u0027un rapport d\u0027analyse de la CISA",
      "revision_date": "2025-04-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 jour-z\u00e9ro de type d\u00e9bordement de pile a \u00e9t\u00e9 d\u00e9couverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vuln\u00e9rabilit\u00e9, d\u0027identifiant CVE-2025-0282, permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n\nIvanti indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e. ",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans les produits Ivanti",
  "vendor_advisories": [
    {
      "published_at": "2025-01-08",
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283",
      "url": "https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283"
    },
    {
      "published_at": "2025-01-08",
      "title": "Bulletin de s\u00e9curit\u00e9 Ivanti security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways",
      "url": "https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.