Calipia : le blog

Ivanti fait face à une nouvelle vulnérabilité critique affectant son produit Virtual Traffic Manager (vTM), qui est actuellement exploitée activement par des acteurs malveillants. Cette faille, référencée sous le code CVE-2024-7593, permet à des attaquants non authentifiés de contourner les mécanismes de sécurité d’authentification et de créer des utilisateurs administrateurs malveillants sur les appareils vulnérables. Rien que cela !

Dans le détail, la vulnérabilité est causée par une implémentation incorrecte de l’algorithme d’authentification utilisé dans l’interface d’administration de vTM exposée à Internet. Le produit Ivanti vTM est un contrôleur de distribution d’applications (ADC) conçu pour assurer l’équilibrage de charge et la gestion du trafic de services critiques en entreprise. L’exploitation réussie de cette faille permettrait à un attaquant distant d’outrepasser l’authentification et de prendre le contrôle du système en créant des comptes administrateurs non autorisés.

Le 13 août 2024, Ivanti a publié des correctifs de sécurité pour combler cette vulnérabilité, tout en indiquant que du code d’exploitation de type proof-of-concept (PoC) était déjà disponible publiquement. Toutefois, bien que l’entreprise n’ait pas encore officiellement confirmé l’exploitation active, elle recommande vivement aux administrateurs de vérifier les logs d’audit pour repérer d’éventuels signes de compromission, comme la création des utilisateurs “user1” ou “user2” via l’interface graphique. Parmi les autres mesures préconisées par Ivanti, figure la restriction d’accès à l’interface d’administration de vTM en la liant à un réseau interne ou à une adresse IP privée afin de minimiser la surface d’attaque et de bloquer les tentatives d’intrusion externes.

Le 19 septembre 2024, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la faille d’authentification de vTM à son catalogue des vulnérabilités exploitées connues (KEV). Ce statut d’exploitation active implique que, conformément à la directive opérationnelle contraignante BOD 22-01, les agences fédérales américaines sont désormais tenues de sécuriser leurs appareils vulnérables d’ici le 15 octobre 2024. Bien que le catalogue KEV soit principalement destiné aux agences fédérales, les entreprises privées à l’échelle mondiale sont également encouragées à corriger cette faille dans les plus brefs délais pour prévenir toute attaque en cours.

La vulnérabilité CVE-2024-7593 est loin d’être un cas isolé. Ces derniers mois, plusieurs failles Ivanti ont été exploitées comme des zero-day dans des attaques ciblant les appliances VPN de la société, ainsi que d’autres dispositifs critiques comme les passerelles ICS, IPS et ZTA. Nous nous en étions déjà fait écho sur le blog… lorsque l’entreprise promettait des changements rapides. Ivanti a déclaré en septembre 2024 avoir renforcé ses capacités internes de scanning et de tests de sécurité. L’entreprise annonce travailler également, une fois de plus, à améliorer son processus de divulgation responsable afin d’identifier et de corriger plus rapidement les vulnérabilités potentielles.