L’exploitation massive a commencé ce week-end pour une autre vulnérabilité critique dans le logiciel VPN largement utilisé vendu par Ivanti, les pirates ciblant déjà deux vulnérabilités précédentes se diversifiant, ont indiqué des chercheurs lundi.
La nouvelle vulnérabilité, identifiée comme CVE-2024-21893, est ce qu’on appelle une falsification de requêtes côté serveur. Ivanti l’a divulgué le 22 janvier, ainsi qu’une vulnérabilité distincte qui jusqu’à présent n’a montré aucun signe d’exploitation. Mercredi dernier, neuf jours plus tard, Ivanti a déclaré que CVE-2024-21893 était en cours d’exploitation active, aggravant ainsi des semaines déjà chaotiques. Toutes les vulnérabilités affectent les produits VPN Connect Secure et Policy Secure d’Ivanti.
Une réputation ternie et des professionnels de la sécurité malmenés
La nouvelle vulnérabilité est apparue alors que deux autres vulnérabilités étaient déjà exploitées massivement, principalement par un groupe de piratage informatique qui, selon les chercheurs, est soutenu par le gouvernement chinois. Ivanti a fourni des conseils d’atténuation pour les deux vulnérabilités le 11 janvier et a publié un correctif approprié la semaine dernière. L’Agence de cybersécurité et de sécurité des infrastructures, quant à elle, a demandé à toutes les agences fédérales placées sous son autorité de déconnecter les produits Ivanti VPN d’Internet jusqu’à ce qu’ils soient reconstruits à partir de zéro et exécutent la dernière version du logiciel.
Dimanche, les attaques ciblant CVE-2024-21893 se sont multipliées, allant de ce qu’Ivanti considère comme un « petit nombre de clients » à une base massive d’utilisateurs, selon une étude de l’organisation de sécurité Shadowserver. La ligne abrupte dans la partie la plus à droite du graphique suivant suit l’augmentation fulgurante de la vulnérabilité à partir de vendredi. Au moment de la publication de cet article Ars, le volume d’exploitation de la vulnérabilité dépassait celui de CVE-2023-46805 et CVE-2024-21887, les précédentes vulnérabilités Ivanti sous ciblage actif.
Serveur fantôme
Les systèmes qui avaient été vaccinés contre les deux anciennes vulnérabilités en suivant le processus d’atténuation d’Ivanti restaient largement ouverts à la vulnérabilité la plus récente, un statut qui la rendait probablement attrayante pour les pirates. Il y a autre chose qui rend CVE-2024-21893 attrayant pour les acteurs de la menace : parce qu’il réside dans l’implémentation par Ivanti du langage open source Security Assertion Markup Language, qui gère l’authentification et l’autorisation entre les parties, les personnes qui exploitent le bug peuvent contourner les mesures d’authentification normales et obtenir accéder directement aux contrôles administratifs du serveur sous-jacent.
L’exploitation a probablement été stimulée par le code de validation de principe publié vendredi par la société de sécurité Rapid7, mais l’exploit n’est pas le seul contributeur. Shadowserver a déclaré avoir commencé à voir des exploits fonctionnels quelques heures avant la sortie de Rapid7. Tous les différents exploits fonctionnent à peu près de la même manière. L’authentification dans les VPN Ivanti s’effectue via la fonction doAuthCheck dans un binaire de serveur Web HTTP situé à l’emplacement /root/home/bin/web. Le point de terminaison /dana-ws/saml20.ws ne nécessite pas d’authentification. Au moment de la mise en ligne de cet article d’Ars, Shadowserver a dénombré un peu plus de 22 000 instances de Connect Secure et Policy Secure.
Serveur fantôme
Les VPN sont une cible idéale pour les pirates cherchant à accéder au plus profond d’un réseau. Les appareils, qui permettent aux employés de se connecter aux portails professionnels à l’aide d’une connexion cryptée, se trouvent à l’extrême limite du réseau, où ils répondent aux demandes de tout appareil connaissant la configuration de port correcte. Une fois que les attaquants ont établi une tête de pont sur un VPN, ils peuvent souvent se tourner vers des parties plus sensibles d’un réseau.
Ces trois semaines d’exploitation ininterrompue ont terni la réputation d’Ivanti en matière de sécurité et ont mis à mal les professionnels de la sécurité qui se sont efforcés, souvent en vain, d’étouffer le flot de compromissions. Le problème était aggravé par la lenteur du temps de mise à jour, qui a dépassé d’une semaine la date limite du 24 janvier d’Ivanti. Pire encore : les pirates ont compris comment contourner les conseils d’atténuation fournis par Ivanti pour la première paire de vulnérabilités.
Compte tenu des faux départs et des enjeux élevés, le mandat de vendredi de la CISA consistant à reconstruire tous les serveurs à partir de zéro une fois qu’ils ont installé le dernier correctif est prudent. Cette exigence ne s’applique pas aux agences non gouvernementales, mais étant donné le chaos et les difficultés de sécurisation des VPN Ivanti ces dernières semaines, il s’agit d’une décision de bon sens que tous les utilisateurs auraient dû prendre dès maintenant.