Des pirates malveillants ont commencé à exploiter massivement deux vulnérabilités critiques du jour zéro dans l’appliance VPN d’entreprise largement utilisée d’Ivanti.
C’est ce que révèle la société de cybersécurité Volexity, qui a signalé pour la première fois la semaine dernière que des pirates informatiques soutenus par l’État chinois exploitaient les deux failles non corrigées d’Ivanti Connect Secure (identifiées sous les noms CVE-2023-46805 et CVE-2024-21887) pour pénétrer dans les réseaux de clients et voler des données. information. À l’époque, Ivanti avait déclaré avoir connaissance de « moins de 10 clients » touchés par les failles « zero-day », décrites comme telles étant donné qu’Ivanti n’avait pas le temps de corriger les failles avant qu’elles ne soient exploitées.
Dans un article de blog mis à jour et publié lundi, Volexity affirme disposer désormais de preuves d’exploitation massive.
Selon Volexity, plus de 1 700 appliances Ivanti Connect Secure dans le monde ont été exploitées jusqu’à présent, affectant des organisations des secteurs de l’aérospatiale, de la banque, de la défense, du gouvernement et des télécommunications.
« Les victimes sont réparties dans le monde entier et varient considérablement en taille, depuis les petites entreprises jusqu’à certaines des plus grandes organisations du monde, y compris plusieurs sociétés Fortune 500 dans plusieurs secteurs verticaux », a déclaré Volexity. Les chercheurs de la société de sécurité ont ajouté que les appliances Ivanti VPN étaient « ciblées sans discernement », avec des entreprises victimes dans le monde entier.
Mais Volexity note que le nombre d’organisations compromises est probablement bien plus élevé. Shadowserver Foundation, un organisme à but non lucratif de suivi des menaces de sécurité, dispose de données montrant plus de 17 000 appliances Ivanti VPN visibles sur Internet dans le monde, dont plus de 5 000 aux États-Unis.
Ivanti a confirmé mardi dans son avis mis à jour que ses propres conclusions sont « cohérentes » avec les nouvelles observations de Volexity et que les piratages massifs semblent avoir commencé le 11 janvier, un jour après qu’Ivanti a révélé les vulnérabilités. Dans une déclaration fournie via l’agence de relations publiques MikeWorldWide, Ivanti a déclaré à TechCrunch qu’elle avait « constaté une forte augmentation de l’activité des acteurs menaçants et des analyses des chercheurs en sécurité ».
Lorsqu’elle a été contactée mardi, la porte-parole de Volexity, Kristel Faris, a déclaré à TechCrunch que la société de sécurité était en contact avec Ivanti, qui « répondait à une augmentation des demandes d’assistance le plus rapidement possible ».
Malgré une exploitation massive, Ivanti n’a pas encore publié de correctifs. Ivanti a annoncé son intention de publier des correctifs sur une base « échelonnée » à partir de la semaine du 22 janvier. En attendant, il est conseillé aux administrateurs d’appliquer les mesures d’atténuation fournies par Ivanti sur toutes les appliances VPN concernées sur leur réseau. Ivanti recommande aux administrateurs de réinitialiser les mots de passe et les clés API, ainsi que de révoquer et de réémettre tous les certificats stockés sur les appliances concernées.
Pas de ransomware… pour l’instant
Volexity a initialement attribué l’exploitation des deux zero-days Ivanti à un groupe de piratage soutenu par la Chine qu’il suit sous le nom d’UTA0178. Volexity a déclaré avoir eu des preuves d’exploitation dès le 3 décembre.
Mandiant, qui suit également l’exploitation des vulnérabilités Ivanti, a déclaré qu’il n’avait pas lié l’exploitation à un groupe de piratage connu auparavant, mais a déclaré que ses conclusions, combinées à celles de Volexity, conduisaient Mandiant à attribuer les piratages à « une campagne APT motivée par l’espionnage ». » suggérant une implication soutenue par le gouvernement.
Volexity a déclaré cette semaine avoir vu d’autres groupes de piratage – en particulier un groupe qu’il appelle UTA0188 – exploiter les failles pour compromettre les appareils vulnérables, mais a refusé de partager des détails supplémentaires sur le groupe – ou ses motivations – lorsque TechCrunch lui a demandé.
Volexity a déclaré à TechCrunch qu’il n’avait trouvé aucune preuve que le ransomware soit impliqué dans les piratages massifs à ce stade. « Cependant, nous prévoyons pleinement que cela se produira si le code de validation de principe devient public », a ajouté Faris.
Les chercheurs en sécurité ont déjà souligné l’existence d’un code de preuve de concept capable d’exploiter les Zero Days d’Ivanti.