Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions
- Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connecté à un contrôleur ZTA
- Ivanti Policy Secure gateways (IPS) toutes versions
Résumé
[Mise à jour du 4 mars 2024] Ivanti a publié le 29 février des recommandations de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].
[Mise à jour du 15 février 2024] l'éditeur a publié le 15 février des correctifs pour les versions suivantes, qui n'en disposaient pas encore jusque-là :
- Ivanti Connect Secure versions 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 et 22.4R1.1
- Ivanti Policy Secure versions 9.1R16.3, 22.4R1.1 et 22.6R1.1
[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024
La publication des premières vulnérabilités a fait suite à la découverte par l'éditeur de leur exploitation ciblée, probablement depuis 2023. L'exploitation de ces vulnérabilités aurait permis aux attaquants de se latéraliser et de récupérer des identifiants sur les équipements Ivanti compromis. Ensuite, des codes d'exploitation, puis de nouvelles vulnérabilités, ont été publiés mi-janvier. L'ensemble de ces vulnérabilités est exploité massivement.
Le 08 février 2024, Ivanti a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-22024, affectant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le détail des versions vulnérables est disponible dans la section solution. Elle permet à un attaquant non authentifié d'accéder à des ressources restreintes. Les chercheurs ayant découvert cette vulnérabilité ont publié une preuve de concept.
[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe
[Mise à jour du 02 février 2024] Correctifs disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la procédure.
[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire
[Version du 31 janvier 2024] Ajout d’informations sur les correctifs et des nouvelles vulnérabilités
L'éditeur a publié des informations concernant deux nouvelles vulnérabilités. La vulnérabilité CVE-2024-21888 permet une élévation de privilège sur le composant web. La vulnérabilité CVE-2024-21893 permet à un attaquant non authentifié de forger des requêtes côté serveur (SSRF) au travers du composant SAML. Cette dernière est activement exploitée.
Des correctifs sont disponibles, veuillez vous référer à la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l'outil ICT même si la version externe est utilisée.
[Version du 23 janvier 2024]
Des acteurs malveillants exploitent massivement les vulnérabilités dans le but d’extorquer les comptes et les mots de passe ayant pu transiter sur les équipements vulnérables.
La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.
Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d'attaques ciblées. Le CERT-FR a connaissance de nombreux équipements compromis. Différentes sources ont mentionné l'exploitation de ces vulnérabilités afin de mettre en place des méthodes de persistance sur l'équipement [1][3].
Des codes d'exploitations publics sont disponibles sur Internet afin d'exploiter les deux vulnérabilités à la suite.
Détection
[Version du 23 janvier 2024]
Pour savoir si vous êtes concernés par ces attaques, le CERT-FR vous propose les actions suivantes :
-
Exécuter le script Integrity Check Tool publié par IVANTI [5] sur tous les équipements composant la grappe (cluster). En cas de résultats non nuls aux étapes 8 et 9, l’équipement est compromis ;
-
L'attaquant peut tenter de contourner les contrôles effectués par l'ICT, il est donc également nécessaire de rechercher dans les journaux toute trace des marqueurs publiés par les sources publiques [1] [3] [11] [12] [13] [14]. Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
En cas de détection positive :
-
Réaliser un gel de données (instantanés pour les Appliances virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.
-
Signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRT métiers. Le CERT-FR vous recontactera si nécessaire pour le traitement de l’incident ou vous communiquera des éléments supplémentaires.
Par ailleurs, le CERT-FR réalise régulièrement des scans à partir des IP mentionnées dans la page associée [6] et contacte les entités identifiées comme vulnérables ou compromises.
Contournement provisoire
[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire
Suite à la mise à jour de la documentation de l'éditeur ainsi que de la mise à disposition de nouveaux correctifs, la procédure à suivre a été déplacée dans la section Solution.
[Mise à jour du 31 janvier 2024] Ajout d'informations sur la nouvelle mesure de contournement
L'éditeur a publié une nouvelle mesure de contournement mitigation.release.20240126.5.xml [15]. Celle-ci permet de se prémunir des vulnérabilités CVE-2024-21888 et CVE-2024-21893 ainsi que des vulnérabilités CVE-2023-46805 et CVE-2024-21887.
Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.
[Version du 23 Janvier 2024]
L’éditeur indique avoir connaissance d'exploitations publiques sur internet et une exploitation en masse des deux vulnérabilités à la suite. Tout équipement dont le contournement provisoire initial (import du fichier xml) n'aurait pas déjà été appliqué doit être considéré comme compromis.
Si les résultats de l’ICT indiquent une compromission (résultats non nuls aux étapes 8 et 9) ou si le contournement provisoire initial (import du fichier xml) n’a pas été réalisé, le CERT-FR recommande fortement de suivre la procédure documentée par l'éditeur [4] pour la remise en production d'un équipement compromis.
Recommandations supplémentaires du cert-fr
Du fait de la compromission des équipements et de la possibilité que l'attaquant ait injecté du code malveillant afin de récupérer des noms d'utilisateur et des mots de passe, le CERT-FR recommande de :
- Réinitialiser tous les secrets (de façon générale) configurés sur les équipements affectés ;
- Réinitialiser tous les secrets d’authentification susceptibles d’avoir transités sur les équipements affectés ;
- Rechercher toutes traces de latéralisation sur le reste du système d’information.
Solution
[Mise à jour du 4 mars 2024] Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en état d'usine mais plutôt repartir d'une image (template).
Procédure de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :
- Effectuer une sauvegarde de la configuration
- Deployer une nouvelle machine à partir d'une image (template) du site de l'éditeur
- Restaurer la configuration à partir de la sauvegarde
- Effectuer une rotation des secrets
[Mise à jour du 15 février 2024] Publication de nouveaux correctifs sécurité. Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 pour les produits suivants :
- Ivanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2
- Ivanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1
- ZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7
[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024
Si un patch a été appliqué avec les versions du 31/01 au 01/02, le CERT-FR recommande d'effectuer les actions suivantes avant l'application du correctif :
- Effectuer une sauvegarde
- Effectuer un scan de l'ICS externe
- En cas de scan positif à l'ICS externe avant la mise à jour, la remise en état d'usine est nécessaire.
Ensuite, une fois le correctif appliqué, si une remise à la configuration d'usine (Factory Reset) a déjà été effectuée lors de l'application du correctif du 31 janvier ou 01 février, l'éditeur indique qu'une nouvelle remise à la configuration d'usine n'est pas nécessaire.
Enfin, pour les équipements vulnérables ne bénéficiant pas encore de correctif, l'éditeur recommande d'appliquer la mesure de contournement publiée le 31 janvier (fichier mitigation.release.20240126.5.xml).
[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe
Recommandation additionnelle pour les configurations en grappe (clusters) :
Se référer à la documentation de l’éditeur à la section « Additionnal Detail for Recovering Clusters »
[Mise à jour du 02 février 2024] L'éditeur continue de publier des versions correctives. Des correctifs sont désormais disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1
[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire
L'éditeur a publié des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].
La procédure suivante, proposée par l'éditeur, peut être suivie quelle que soit la disponibilité du correctif pour l'équipement. En cas d'indisponibilité d'un correctif, le fichier de contournement doit être installé.
- Sauvegarder la configuration de l’équipement ;
- Effectuer une remise à la configuration de sortie d'usine (Factory Reset) ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible :
- la procédure est documentée dans le bulletin de l'éditeur [7],
- Une montée de version va supprimer/écraser les fichiers ajoutés/modifiés par l’attaquant,
- Les versions des firmwares peuvent être téléchargées sur la page de l'éditeur [8],
- NOTE : Un retour arrière (rollback) sur la version compromise va rendre le boîtier vulnérable. Deux montées de version suppriment la version compromise puisqu’une seule version de rollback est conservée sur l’équipement ;
- S'il n'est pas possible d'installer une version disposant du correctif, une fois la remise à la configuration de sortie d'usine terminée, effectuer une mise à jour vers la version installée précédemment ;
- Restaurer la configuration de l’équipement à partir de la sauvegarde : [9] [10] ;
- Si vous avez appliqué la mesure de contournement XML et que vous avez appliqué la version corrigée du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887)
- Révoquer et réémettre tous les certificats présents sur les équipements affectés :
- Certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur),
- Certificats de signature de code et les certificats TLS pour l’interface exposée ;
- Réinitialiser le mot de passe d'administration ;
- Réinitialiser les clés d’API stockées sur l’équipement ;
- Réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification.
- Réinitialiser les authentifications des serveurs de licence ;
- Si votre micrologiciel n’est pas sur une version corrigée, Installer le fichier de contournement (fichier .xml) sur l’équipement sain. Sinon, l’installation du fichier xml n’est pas nécessaire.
Une fois le contournement installé, plus aucune configuration ne doit être poussée sur l'équipement jusqu'à l'application du correctif de sécurité. En effet, l'éditeur indique que cela entraîne le malfonctionnement de certains services internes ce qui conduit à rendre le contournement inefficace.
L'utilisation de mesures de contournement n'est pas nécessaire après la mise à jour de l'équipement vers une version non vulnérable. L'éditeur propose un outil de suppression de contournement si ce dernier a été appliqué avant la mise à jour.
Documentation
- [0] Bulletin de sécurité Ivanti 000090123 du 10 janvier 2024 https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
- [1] Billet de blogue Volexity du 10 janvier 2024 https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
- [2] Les bons réflexes en cas d'intrusion sur un système d'information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- [3] Billet de blogue Mandiant du 12 janvier 2024 https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
- [4] Bulletin technique Ivanti du 16 janvier mis à jour le 19 janvier 2024 https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US
- [5] Bulletin technique Ivanti relatif à Integrity Check Tool https://forums.ivanti.com/s/article/KB44755
- [6] Page du CERT-FR relative aux scans https://www.cert.ssi.gouv.fr/scans/
- [7] Bulletin technique Ivanti relatif à la réinitialisation de l'équipement https://forums.ivanti.com/s/article/KB22964
- [8] Bulletin technique Ivanti relatif au téléchargement des firmwares https://forums.ivanti.com/s/article/Post-Factory-Reset-Legacy-Package-Download
- [9] Bulletin technique Ivanti relatif à la restauration des données https://forums.ivanti.com/s/article/KB44759
- [10] Bulletin technique Ivanti relatif à la restauration des données https://forums.ivanti.com/s/article/KB44172
- [11] Publication Twitter du 22 janvier 2024 https://twitter.com/felixaime/status/1749454051601776979
- [12] Billet de blogue Volexity du 18 janvier 2024 https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/
- [13] Liste d'indicateurs de compromission publiée par HarfangLab du 22 janvier 2024 https://raw.githubusercontent.com/HarfangLab/iocs/main/iv_lastauthserverused_js/20240122_lastauthserverused_js.txt
- [14] Alerte de sécurité de JPCert du 11 janvier 2024 https://www.jpcert.or.jp/at/2024/at240002.html
- [15] Portail de téléchargement de l'éditeur https://forums.ivanti.com/s/product-downloads
- [16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool https://www.ivanti.com/blog/enhanced-external-integrity-checking-tool-to-provide-additional-visibility-and-protection-for-customers-against-evolving-threat-actor-techniques-in-relation-to-previously-disclosed-vulnerabilities
- Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0085/
- Avis CERT-FR CERTFR-2024-AVI-0109 du 09 février 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0109/
- Bulletin de sécurité Ivanti du 08 février 2024 https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024
- Détails de la vulnérabilité CVE-2024-22024 https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
- Recommandation supplémentaires pour les configurations en grappe https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US
- Référence CVE CVE-2023-46805 https://www.cve.org/CVERecord?id=CVE-2023-46805
- Référence CVE CVE-2024-21887 https://www.cve.org/CVERecord?id=CVE-2024-21887
- Référence CVE CVE-2024-21888 https://www.cve.org/CVERecord?id=CVE-2024-21888
- Référence CVE CVE-2024-21893 https://www.cve.org/CVERecord?id=CVE-2024-21893
- Référence CVE CVE-2024-22024 https://www.cve.org/CVERecord?id=CVE-2024-22024