Des auteurs de menaces inconnus ciblent activement deux vulnérabilités critiques du jour zéro qui leur permettent de contourner l’authentification à deux facteurs et d’exécuter du code malveillant au sein de réseaux utilisant une appliance de réseau privé virtuel largement utilisée vendue par Ivanti, ont déclaré mercredi des chercheurs.
Ivanti a rapporté des détails sommaires concernant les jours zéro dans des articles publiés mercredi qui exhortaient les clients à suivre immédiatement les conseils d’atténuation. Suivis sous les noms CVE-2023-46805 et CVE-2024-21887, ils résident dans Ivanti Connect Secure, une appliance VPN souvent abrégée en ICS. Anciennement connu sous le nom de Pulse Secure, le VPN largement utilisé a abrité ces dernières années des failles Zero Day qui ont été largement exploitées, avec dans certains cas des effets dévastateurs.
Exploiteurs : démarrez vos moteurs
« Lorsqu’elles sont combinées, ces deux vulnérabilités rendent triviale l’exécution de commandes sur le système par les attaquants », ont écrit des chercheurs de la société de sécurité Volexity dans un article résumant les conclusions de leur enquête sur une attaque qui a frappé un client le mois dernier. « Dans cet incident particulier, l’attaquant a exploité ces exploits pour voler des données de configuration, modifier des fichiers existants, télécharger des fichiers distants et inverser le tunnel depuis l’appliance VPN ICS. » Les chercheurs Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair et Thomas Lancaster ont poursuivi en écrivant :
Volexity a observé que l’attaquant modifiait des composants ICS légitimes et apportait des modifications au système pour échapper à l’outil de vérification de l’intégrité ICS. Volexity a notamment observé que l’attaquant détournait un fichier CGI légitime (compcheck.cgi) sur l’appliance VPN ICS pour permettre l’exécution de commandes. En outre, l’attaquant a également modifié un fichier JavaScript utilisé par le composant VPN Web SSL de l’appareil afin d’enregistrer et d’exfiltrer les informations d’identification des utilisateurs qui s’y connectent. Les informations et les informations d’identification collectées par l’attaquant lui ont permis de se tourner vers une poignée de systèmes en interne et, finalement, d’obtenir un accès illimité aux systèmes du réseau.
Les chercheurs ont attribué les piratages à un acteur menaçant suivi sous le pseudonyme UTA0178, qu’ils soupçonnent d’être un acteur menaçant au niveau de l’État-nation chinois.
Comme les autres VPN, l’ICS se trouve à la limite d’un réseau protégé et agit comme un gardien censé autoriser uniquement les appareils autorisés à se connecter à distance. Cette position et son statut permanent rendent l’appliance idéale pour cibler lorsque des vulnérabilités d’exécution de code sont identifiées. Jusqu’à présent, les failles Zero Day semblent avoir été exploitées en petit nombre et uniquement dans le cadre d’attaques très ciblées, a déclaré Steven Adair, PDG de Volexity, dans un e-mail. Il a continué en écrivant :
Cependant, il y a de très fortes chances que cela change. Il y aura désormais une course potentielle pour compromettre les appareils avant que les mesures d’atténuation ne soient appliquées. Il est également possible que l’auteur de la menace partage l’exploit ou que d’autres attaquants découvrent l’exploit. Si vous connaissez les détails, l’exploit est assez simple à réaliser et ne nécessite absolument aucune authentification et peut être réalisé via Internet. L’objectif principal de ces appareils est de fournir un accès VPN. Par nature, ils se trouvent sur Internet et sont accessibles.
Le paysage des menaces de 2023 a été dominé par l’exploitation massive et active d’une poignée de vulnérabilités à fort impact suivies sous les noms Citrix Bleed ou sous des désignations telles que CVE-2022-47966, CVE-2023-34362 et CVE-2023-49103, qui résidaient dans dans Citrix NetScaler Application Delivery Controller et NetScaler Gateway, le service de transfert de fichiers MOVEit et 24 produits vendus respectivement par ManageEngine et ownCloud, propriété de Zoho. À moins que les organisations concernées n’agissent plus rapidement que l’année dernière pour corriger leurs réseaux, les dernières vulnérabilités des appliances Ivanti pourraient recevoir le même traitement.
Le chercheur Kevin Beaumont, qui a proposé « Connect Around » comme surnom pour suivre les jours zéro, a publié les résultats d’une analyse qui a montré qu’environ 15 000 appliances Ivanti concernées étaient exposées à Internet dans le monde. Beaumont a déclaré que des pirates informatiques soutenus par un État-nation semblaient être à l’origine des attaques contre l’appareil vendu par Ivanti.