Les agences civiles fédérales ont jusqu’à samedi matin minuit pour couper toutes les connexions réseau au logiciel Ivanti VPN, qui est actuellement exploité massivement par plusieurs groupes malveillants. L’Agence américaine de cybersécurité et de sécurité des infrastructures a ordonné cette décision mercredi après avoir divulgué trois vulnérabilités critiques au cours des dernières semaines.
Il y a trois semaines, Ivanti a révélé deux vulnérabilités critiques que les acteurs malveillants exploitaient déjà activement. Les attaques, a déclaré la société, ciblaient « un nombre limité de clients » utilisant les produits VPN Connect Secure et Policy Secure de la société. La société de sécurité Volexity a déclaré le même jour que les vulnérabilités étaient sous-exploitées depuis début décembre. Ivanti ne disposait pas de correctif et a plutôt conseillé aux clients de suivre plusieurs étapes pour se protéger contre les attaques. Parmi les étapes figurait l’exécution d’un vérificateur d’intégrité publié par l’entreprise pour détecter toute compromission. Près de deux semaines plus tard, les chercheurs ont déclaré que les failles Zero Day étaient exploitées massivement dans le cadre d’attaques visant à détourner les réseaux de clients du monde entier. Un jour plus tard, Ivanti n’a pas tenu son engagement antérieur de commencer à déployer un correctif approprié d’ici le 24 janvier. La société n’a lancé le processus que mercredi, deux semaines après la date limite qu’elle s’était fixée.
Et puis ils furent trois
Ivanti a divulgué mercredi deux nouvelles vulnérabilités critiques dans Connect Secure, identifiées comme CVE-2024-21888 et CVE-2024-21893. La société a déclaré que CVE-2024-21893 – une classe de vulnérabilité connue sous le nom de falsification de requêtes côté serveur – « semble être ciblée », ce qui porte à trois le nombre de vulnérabilités activement exploitées. Les responsables du gouvernement allemand ont déclaré qu’ils avaient déjà vu des exploits réussis du plus récent. Les responsables ont également averti que l’exploitation des nouvelles vulnérabilités neutralisait les mesures d’atténuation qu’Ivanti conseillait à ses clients de mettre en œuvre.
Quelques heures plus tard, la Cybersecurity and Infrastructure Security Agency, généralement abrégée en CISA, a ordonné à toutes les agences fédérales sous son autorité de « déconnecter toutes les instances des solutions Ivanti Connect Secure et Ivanti Policy Secure des réseaux d’agence » au plus tard vendredi à 23 h 59. . Les responsables de l’agence ont fixé le même délai pour que les agences suivent les étapes recommandées par Ivanti, conçues pour détecter si leurs VPN Ivanti ont déjà été compromis lors des attaques en cours.
Les étapes comprennent :
- Identification de tout système supplémentaire connecté ou récemment connecté au périphérique Ivanti concerné
- Surveillance des services d’authentification ou de gestion des identités qui pourraient être exposés
- Isoler les systèmes de toutes les ressources de l’entreprise dans la plus grande mesure possible
- Poursuite de l’audit des comptes d’accès au niveau de privilège.
La directive précise ensuite qu’avant que les agences puissent remettre leurs produits Ivanti en ligne, elles doivent suivre une longue série d’étapes qui incluent la réinitialisation d’usine de leur système, leur reconstruction en suivant les instructions précédemment publiées par Ivanti et l’installation des correctifs Ivanti.
« Les agences exécutant les produits concernés doivent supposer que les comptes de domaine associés aux produits concernés ont été compromis », indique la directive de mercredi. Les responsables ont ensuite exigé que d’ici le 1er mars, les agences doivent avoir réinitialisé les mots de passe « deux fois » pour les comptes sur site, révoquer les tickets d’authentification compatibles Kerberos, puis révoquer les jetons pour les comptes cloud dans les déploiements hybrides.
Steven Adair, président de Volexity, la société de sécurité qui a découvert les deux premières vulnérabilités, a déclaré que ses analyses les plus récentes indiquent qu’au moins 2 200 clients des produits concernés ont été compromis à ce jour. Il a applaudi la directive de mercredi de la CISA.
« C’est effectivement le meilleur moyen d’atténuer toute crainte qu’un appareil puisse encore être compromis », a déclaré Adair dans un e-mail. « Nous avons constaté que les attaquants cherchaient activement des moyens de contourner la détection des outils de vérification de l’intégrité. Compte tenu des vulnérabilités précédentes et nouvelles, cette ligne de conduite autour d’un système entièrement nouveau et corrigé pourrait être la meilleure solution pour que les organisations n’aient pas à se demander si leur appareil est activement compromis.
La directive n’est contraignante que pour les agences placées sous l’autorité de la CISA. Toutefois, tout utilisateur de produits vulnérables doit suivre immédiatement les mêmes étapes s’il ne l’a pas déjà fait.