Le VPN Ivanti attaqué par des pirates.

5/5 - (4 votes)

Selon la CISA, des attaquants piratent les appliances Ivanti VPN.

CISA met en garde contre l’utilisation de passerelles VPN Ivanti piratées, même après une réinitialisation d’usine. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a révélé que les attaquants qui piratent les appliances Ivanti VPN en utilisant l’une des multiples vulnérabilités activement exploitées pourraient être en mesure de maintenir la persistance du root même après avoir effectué des réinitialisations d’usine. En outre, ils peuvent également échapper à la détection par l’outil de vérification d’intégrité (ICT) interne et externe d’Ivanti sur les passerelles Ivanti Connect Secure et Policy Secure compromises à l’aide d’exploits.


La Cybersecurity and Infrastructure Security Agency (CISA) est une agence fédérale américaine sous la supervision du département de la Sécurité intérieure des États-Unis, créée le 16 novembre 2018 à la suite de la promulgation du Cybersecurity and Infrastructure Security Agency Act (en) de 2018. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement. En cybersécurité, la mission du CISA est de diriger les efforts visant à protéger le domaine fédéral des réseaux du gouvernement civil. Elle vise aussi à collaborer avec le secteur privé pour accroître la sécurité des réseaux critiques. La CISA dirige l'effort national pour comprendre, gérer et réduire les risques pour l'infrastructure cyber et physique sur laquelle les Américains comptent à chaque heure de chaque jour. Sa mission s'étend à trois domaines principaux : la cybersécurité, la sécurité des infrastructures et les communications d'urgence.

CVE-2023-46805: Cette vulnérabilité a été modifiée depuis sa dernière analyse par le NVD. Il est en attente d’une nouvelle analyse qui pourrait entraîner de nouvelles modifications des informations fournies. Une vulnérabilité de contournement d’authentification dans le composant Web d’Ivanti ICS 9.x, 22.x et Ivanti Policy Secure permet à un attaquant distant d’accéder à des ressources restreintes en contournant les contrôles de contrôle.

CVE-2024-21887: Cette vulnérabilité a été modifiée depuis sa dernière analyse par le NVD. Il est en attente d’une nouvelle analyse qui pourrait entraîner de nouvelles modifications des informations fournies. Une vulnérabilité d’injection de commandes dans les composants Web d’Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x) permet à un administrateur authentifié d’envoyer des requêtes spécialement conçues et d’exécuter des commandes arbitraires sur l’appliance.

CVE-2024-22024: Une vulnérabilité d’entité externe XML ou XXE dans le composant SAML des passerelles Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) et ZTA qui permet à un attaquant d’accéder à certaines ressources restreintes sans authentification.

CVE-2024-21893: Une vulnérabilité de falsification de requête côté serveur dans le composant SAML d’Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x) et Ivanti Neurons pour ZTA permet à un attaquant d’accéder à certaines ressources restreintes. sans authentification.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


La politique de sécurité informatique, essentielle à l'ère numérique, vise à protéger les systèmes, réseaux et données contre les menaces en ligne. Elle établit des directives pour gérer les risques, mettre en place des mesures de prévention et de détection des intrusions, ainsi que des protocoles de réponse en cas d'incidents. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

En promouvant la sensibilisation, la formation et la conformité aux normes de sécurité, une politique efficace renforce la résilience des organisations face aux cyberattaques, garantissant la confidentialité, l'intégrité et la disponibilité des informations cruciales.


En informatique, un réseau privé virtuel (VPN), quelquefois abrégé RPV au Québec et ailleurs, de l'anglais Virtual Private Network, est un système permettant de créer un lien direct entre des ordinateurs distants. On utilise notamment ce terme dans le travail à distance notamment, ainsi que pour l'accès à des structures de type cloud computing. Les connexions VPN ne sont pas nécessairement chiffrées. Cependant, si l'on ne chiffre pas, cela peut permettre à des éléments intermédiaires sur le réseau d'accéder au trafic du VPN, ce qui peut être problématique si les informations qui y transitent sont sensibles. De plus, des techniques de DPI permettent à des pare feux de filtrer le trafic du VPN s'il n'est pas chiffré. Un grand nombre de sociétés proposent des VPN gratuits, et nul doute qu’elles utilisent la revente des données à des tiers pour financer leur service. En matière de confidentialité et de sécurité, il est préférable de passer par un VPN payant. Ce qui n’empêche pas bien sûr de bien lire les conditions d’utilisation notamment en matière de conservation des données.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut