{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Ivanti Connect Secure (ICS, anciennement Pulse Connect Secure) toutes versions","product":{"name":"N/A","vendor":{"name":"Ivanti","scada":false}}},{"description":"Ivanti Neurons pour passerelles ZTA, toutes versions, en cours d'installation et non connect\u00e9 \u00e0 un contr\u00f4leur ZTA","product":{"name":"N/A","vendor":{"name":"Ivanti","scada":false}}},{"description":"Ivanti Policy Secure gateways (IPS) toutes versions","product":{"name":"N/A","vendor":{"name":"Ivanti","scada":false}}}],"affected_systems_content":"","closed_at":"2024-04-15","content":"

Contournement provisoire

\n

[Mise \u00e0 jour du 01 f\u00e9vrier 2024] Fusion de la partie solution et contournement provisoire

Suite \u00e0 la mise \u00e0 jour de la documentation de l'\u00e9diteur ainsi que de la mise \u00e0 disposition de nouveaux correctifs, la proc\u00e9dure \u00e0 suivre a \u00e9t\u00e9 d\u00e9plac\u00e9e dans la section Solution.

[Mise \u00e0 jour du 31 janvier 2024] Ajout d'informations sur la nouvelle mesure de contournement

L'\u00e9diteur a publi\u00e9 une nouvelle mesure de contournement mitigation.release.20240126.5.xml [15]. Celle-ci permet de se pr\u00e9munir des vuln\u00e9rabilit\u00e9s CVE-2024-21888 et CVE-2024-21893 ainsi que des vuln\u00e9rabilit\u00e9s CVE-2023-46805 et CVE-2024-21887.

Des correctifs sont pr\u00e9sent\u00e9s dans la section Solution, la mesure de contournement ne doit \u00eatre appliqu\u00e9e que si les correctifs ne sont pas disponibles pour les produits concern\u00e9s.

[Version du 23 Janvier 2024]

L\u2019\u00e9diteur indique avoir connaissance d'exploitations publiques sur internet et une exploitation en masse des deux vuln\u00e9rabilit\u00e9s \u00e0 la suite. Tout \u00e9quipement dont le contournement provisoire initial (import du fichier xml) n'aurait pas d\u00e9j\u00e0 \u00e9t\u00e9 appliqu\u00e9 doit \u00eatre consid\u00e9r\u00e9 comme compromis.
Si les r\u00e9sultats de l\u2019ICT indiquent une compromission (r\u00e9sultats non nuls aux \u00e9tapes 8 et 9) ou si le contournement provisoire initial (import du fichier xml) n\u2019a pas \u00e9t\u00e9 r\u00e9alis\u00e9, le CERT-FR recommande fortement de suivre la proc\u00e9dure document\u00e9e par l'\u00e9diteur [4] pour la remise en production d'un \u00e9quipement compromis.

\u00a0

Recommandations suppl\u00e9mentaires du cert-fr

Du fait de la compromission des \u00e9quipements et de la possibilit\u00e9 que l'attaquant ait inject\u00e9 du code malveillant afin de r\u00e9cup\u00e9rer des noms d'utilisateur et des mots de passe, le CERT-FR recommande de\u00a0:

  1. R\u00e9initialiser tous les secrets (de fa\u00e7on g\u00e9n\u00e9rale) configur\u00e9s sur les \u00e9quipements affect\u00e9s ;
  2. R\u00e9initialiser tous les secrets d\u2019authentification susceptibles d\u2019avoir transit\u00e9s sur les \u00e9quipements affect\u00e9s ;
  3. Rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information.
\n\n

Solution

\n

[Mise \u00e0 jour du 4 mars 2024] Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en \u00e9tat d'usine mais plut\u00f4t repartir d'une image (template).

Proc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :

  1. Effectuer une sauvegarde de la configuration
  2. Deployer une nouvelle machine \u00e0 partir d'une image (template) du site de l'\u00e9diteur
  3. Restaurer la configuration \u00e0 partir de la sauvegarde
  4. Effectuer une rotation des secrets

[Mise \u00e0 jour du 15 f\u00e9vrier 2024] Publication de nouveaux correctifs s\u00e9curit\u00e9. Ivanti a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9 CVE-2024-22024 pour les produits suivants :

[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024

Si un patch a \u00e9t\u00e9 appliqu\u00e9 avec les versions du 31/01 au 01/02, le CERT-FR recommande d'effectuer les actions suivantes avant l'application du correctif\u00a0:

Ensuite, une fois le correctif appliqu\u00e9, si une remise \u00e0 la configuration d'usine (Factory Reset) a d\u00e9j\u00e0 \u00e9t\u00e9 effectu\u00e9e lors de l'application du correctif du 31 janvier ou 01 f\u00e9vrier, l'\u00e9diteur indique qu'une nouvelle remise \u00e0 la configuration d'usine n'est pas n\u00e9cessaire.

Enfin, pour les \u00e9quipements vuln\u00e9rables ne b\u00e9n\u00e9ficiant pas encore de correctif, l'\u00e9diteur recommande d'appliquer la mesure de contournement publi\u00e9e le 31 janvier (fichier mitigation.release.20240126.5.xml).

[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe

Recommandation additionnelle pour les configurations en grappe (clusters) :

Se r\u00e9f\u00e9rer \u00e0 la documentation de l\u2019\u00e9diteur \u00e0 la section \u00ab Additionnal Detail for Recovering Clusters \u00bb

https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US

[Mise \u00e0 jour du 02 f\u00e9vrier 2024] L'\u00e9diteur continue de publier des versions correctives. Des correctifs sont d\u00e9sormais disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1

[Mise \u00e0 jour du 01 f\u00e9vrier 2024] Fusion de la partie solution et contournement provisoire

L'\u00e9diteur a publi\u00e9 des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].

La proc\u00e9dure suivante, propos\u00e9e par l'\u00e9diteur, peut \u00eatre suivie quelle que soit la disponibilit\u00e9 du correctif pour l'\u00e9quipement. En cas d'indisponibilit\u00e9 d'un correctif, le fichier de contournement doit \u00eatre install\u00e9.

  1. Sauvegarder la configuration de l\u2019\u00e9quipement ;
  2. Effectuer une remise \u00e0 la configuration de sortie d'usine (Factory Reset) ET proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (firmware) si le correctif est disponible :
  3. S'il n'est pas possible d'installer une version disposant du correctif, une fois la remise\u00a0\u00e0 la configuration de sortie d'usine termin\u00e9e, effectuer une mise \u00e0 jour vers la version install\u00e9e pr\u00e9c\u00e9demment ;
  4. Restaurer la configuration de l\u2019\u00e9quipement \u00e0 partir de la sauvegarde : [9] [10] ;
  5. R\u00e9voquer et r\u00e9\u00e9mettre tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s :
  6. R\u00e9initialiser le mot de passe d'administration ;
  7. R\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;
  8. R\u00e9initialiser les mots de passe de tout compte local d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification.
  9. R\u00e9initialiser les authentifications des serveurs de licence ;
  10. Si votre micrologiciel n\u2019est pas sur une version corrig\u00e9e, Installer le fichier de contournement (fichier .xml) sur l\u2019\u00e9quipement sain. Sinon, l\u2019installation du fichier xml n\u2019est pas n\u00e9cessaire.

Une fois le contournement install\u00e9, plus aucune configuration ne doit \u00eatre pouss\u00e9e sur l'\u00e9quipement jusqu'\u00e0 l'application du correctif de s\u00e9curit\u00e9. En effet, l'\u00e9diteur indique que cela entra\u00eene le malfonctionnement de certains services internes ce qui conduit \u00e0 rendre le contournement inefficace.

L'utilisation de mesures de contournement n'est pas n\u00e9cessaire apr\u00e8s la mise \u00e0 jour de l'\u00e9quipement vers une version non vuln\u00e9rable. L'\u00e9diteur propose un outil de suppression de contournement si ce dernier a \u00e9t\u00e9 appliqu\u00e9 avant la mise \u00e0 jour.

","cves":[{"name":"CVE-2023-46805","url":"https://www.cve.org/CVERecord?id=CVE-2023-46805"},{"name":"CVE-2024-21887","url":"https://www.cve.org/CVERecord?id=CVE-2024-21887"},{"name":"CVE-2024-21893","url":"https://www.cve.org/CVERecord?id=CVE-2024-21893"},{"name":"CVE-2024-21888","url":"https://www.cve.org/CVERecord?id=CVE-2024-21888"},{"name":"CVE-2024-22024","url":"https://www.cve.org/CVERecord?id=CVE-2024-22024"}],"links":[{"title":"[6] Page du CERT-FR relative aux scans","url":"https://www.cert.ssi.gouv.fr/scans/"},{"title":"[1] Billet de blogue Volexity du 10 janvier 2024","url":"https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/"},{"title":"[7] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l'\u00e9quipement","url":"https://forums.ivanti.com/s/article/KB22964"},{"title":"[5] Bulletin technique Ivanti relatif \u00e0 Integrity Check Tool","url":"https://forums.ivanti.com/s/article/KB44755"},{"title":"D\u00e9tails de la vuln\u00e9rabilit\u00e9 CVE-2024-22024","url":"https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US"},{"title":"[13] Liste d'indicateurs de compromission publi\u00e9e par HarfangLab du 22 janvier 2024","url":"https://raw.githubusercontent.com/HarfangLab/iocs/main/iv_lastauthserverused_js/20240122_lastauthserverused_js.txt"},{"title":"Avis CERT-FR CERTFR-2024-AVI-0085 du 31 janvier 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0085/"},{"title":"[2] Les bons r\u00e9flexes en cas d'intrusion sur un syst\u00e8me d'information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[16] Billet de blog Ivanti sur Enhanced External Integrity Checker Tool","url":"https://www.ivanti.com/blog/enhanced-external-integrity-checking-tool-to-provide-additional-visibility-and-protection-for-customers-against-evolving-threat-actor-techniques-in-relation-to-previously-disclosed-vulnerabilities"},{"title":"[11] Publication Twitter du 22 janvier 2024","url":"https://twitter.com/felixaime/status/1749454051601776979"},{"title":"[4] Bulletin technique Ivanti du 16 janvier mis \u00e0 jour le 19 janvier 2024","url":"https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"},{"title":"[8] Bulletin technique Ivanti relatif au t\u00e9l\u00e9chargement des firmwares","url":"https://forums.ivanti.com/s/article/Post-Factory-Reset-Legacy-Package-Download"},{"title":"[10] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es","url":"https://forums.ivanti.com/s/article/KB44172"},{"title":"[3] Billet de blogue Mandiant du 12 janvier 2024","url":"https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"},{"title":"[14] Alerte de s\u00e9curit\u00e9 de JPCert du 11 janvier 2024","url":"https://www.jpcert.or.jp/at/2024/at240002.html"},{"title":"[15] Portail de t\u00e9l\u00e9chargement de l'\u00e9diteur","url":"https://forums.ivanti.com/s/product-downloads"},{"title":"[9] Bulletin technique Ivanti relatif \u00e0 la restauration des donn\u00e9es","url":"https://forums.ivanti.com/s/article/KB44759"},{"title":"Avis CERT-FR CERTFR-2024-AVI-0109 du 09 f\u00e9vrier 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0109/"},{"title":"Recommandation suppl\u00e9mentaires pour les configurations en grappe","url":"https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US"},{"title":"[12] Billet de blogue Volexity du 18 janvier 2024","url":"https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/"},{"title":"Bulletin de s\u00e9curit\u00e9 Ivanti du 08 f\u00e9vrier 2024","url":"https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways-282024"}],"reference":"CERTFR-2024-ALE-001","revisions":[{"description":"Version initiale","revision_date":"2024-01-11T00:00:00.000000"},{"description":"Ajout de recommandations","revision_date":"2024-01-17T00:00:00.000000"},{"description":"MaJ ordre de la mise en oeuvre des mesures de contournement","revision_date":"2024-01-19T00:00:00.000000"},{"description":"Mise \u00e0 jour des recommandations CERT-FR","revision_date":"2024-01-23T00:00:00.000000"},{"description":"Information sur les correctifs et les nouvelles vuln\u00e9rabilit\u00e9s","revision_date":"2024-01-31T00:00:00.000000"},{"description":"Fusion de la partie solution et contournement provisoire","revision_date":"2024-02-01T00:00:00.000000"},{"description":"Nouveaux correctifs disponibles et clarification de la proc\u00e9dure","revision_date":"2024-02-02T00:00:00.000000"},{"description":"Ajout de recommandations pour une configuration en grappe","revision_date":"2024-02-05T00:00:00.000000"},{"description":"Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024","revision_date":"2024-02-09T00:00:00.000000"},{"description":"Nouveaux correctifs disponibles","revision_date":"2024-02-15T00:00:00.000000"},{"description":"Ajout d'une proc\u00e9dure de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle","revision_date":"2024-03-04T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-04-15T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"

[Mise \u00e0 jour du 4 mars 2024] Ivanti a publi\u00e9 le 29 f\u00e9vrier des recommandations de r\u00e9solution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16].

[Mise \u00e0 jour du 15 f\u00e9vrier 2024] l'\u00e9diteur a publi\u00e9 le 15 f\u00e9vrier des correctifs pour les versions suivantes, qui n'en disposaient pas encore jusque-l\u00e0 :

[Mise \u00e0 jour du 09 f\u00e9vrier 2024] Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-22024

La publication des premi\u00e8res vuln\u00e9rabilit\u00e9s a fait suite \u00e0 la d\u00e9couverte par l'\u00e9diteur de leur exploitation cibl\u00e9e, probablement depuis 2023. L'exploitation de ces vuln\u00e9rabilit\u00e9s aurait permis aux attaquants de se lat\u00e9raliser et de r\u00e9cup\u00e9rer des identifiants sur les \u00e9quipements Ivanti compromis. Ensuite, des codes d'exploitation, puis de nouvelles vuln\u00e9rabilit\u00e9s, ont \u00e9t\u00e9 publi\u00e9s mi-janvier. L'ensemble de ces vuln\u00e9rabilit\u00e9s est exploit\u00e9 massivement.

Le 08 f\u00e9vrier 2024, Ivanti a publi\u00e9 un bulletin de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 CVE-2024-22024, affectant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways. Le d\u00e9tail des versions vuln\u00e9rables est disponible dans la section solution. Elle permet \u00e0 un attaquant non authentifi\u00e9 d'acc\u00e9der \u00e0 des ressources restreintes. Les chercheurs ayant d\u00e9couvert cette vuln\u00e9rabilit\u00e9 ont publi\u00e9 une preuve de concept.

[Mise \u00e0 jour du 04 f\u00e9vrier 2024] Ajout de recommandations pour une configuration en grappe

[Mise \u00e0 jour du 02 f\u00e9vrier 2024] Correctifs disponibles pour les versions\u00a0Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Clarification de la proc\u00e9dure.

[Mise \u00e0 jour du 01 f\u00e9vrier 2024] Fusion de la partie solution et contournement provisoire

[Version du 31 janvier 2024] Ajout d\u2019informations sur les correctifs et des nouvelles vuln\u00e9rabilit\u00e9s

L'\u00e9diteur a publi\u00e9 des informations concernant deux nouvelles vuln\u00e9rabilit\u00e9s. La vuln\u00e9rabilit\u00e9 CVE-2024-21888 permet une \u00e9l\u00e9vation de privil\u00e8ge sur le composant web. La vuln\u00e9rabilit\u00e9 CVE-2024-21893 permet \u00e0 un attaquant non authentifi\u00e9 de forger des requ\u00eates c\u00f4t\u00e9 serveur (SSRF) au travers du composant SAML. Cette derni\u00e8re est activement exploit\u00e9e.

Des correctifs sont disponibles, veuillez vous r\u00e9f\u00e9rer \u00e0 la section Solution. Le CERT-FR a connaissance de tentatives de contournement de l'outil ICT m\u00eame si la version externe est utilis\u00e9e.

[Version du 23 janvier 2024]

Des acteurs malveillants exploitent massivement les vuln\u00e9rabilit\u00e9s dans le but d\u2019extorquer les comptes et les mots de passe ayant pu transiter sur les \u00e9quipements vuln\u00e9rables.

La vuln\u00e9rabilit\u00e9 CVE-2023-46805 permet \u00e0 un attaquant de contourner l'authentification, tandis que la vuln\u00e9rabilit\u00e9 CVE-2024-21887 permet \u00e0 un administrateur distant et authentifi\u00e9 d'ex\u00e9cuter des commandes arbitraires. Un attaquant qui exploite ces deux vuln\u00e9rabilit\u00e9s peut par cons\u00e9quent prendre le contr\u00f4le complet de l\u2019\u00e9quipement.

Ivanti indique que ces vuln\u00e9rabilit\u00e9s sont activement exploit\u00e9es dans le cadre d'attaques cibl\u00e9es. Le CERT-FR a connaissance de nombreux \u00e9quipements compromis. Diff\u00e9rentes sources ont mentionn\u00e9 l'exploitation de ces vuln\u00e9rabilit\u00e9s afin de mettre en place des m\u00e9thodes de persistance sur l'\u00e9quipement [1][3].

Des codes d'exploitations publics sont disponibles sur Internet afin d'exploiter les deux vuln\u00e9rabilit\u00e9s \u00e0 la suite.

D\u00e9tection

[Version du 23 janvier 2024]

Pour savoir si vous \u00eates concern\u00e9s par ces attaques, le CERT-FR vous propose les actions suivantes\u00a0:

  1. Ex\u00e9cuter le script Integrity Check Tool publi\u00e9 par IVANTI [5] sur tous les \u00e9quipements composant la grappe (cluster). En cas de r\u00e9sultats non nuls aux \u00e9tapes 8 et 9, l\u2019\u00e9quipement est compromis ;

  2. L'attaquant peut tenter de contourner les contr\u00f4les effectu\u00e9s par l'ICT, il est donc \u00e9galement n\u00e9cessaire de rechercher dans les journaux toute trace des marqueurs publi\u00e9s par les sources publiques [1] [3] [11] [12] [13] [14]. Note : Ces indicateurs n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.

En cas de d\u00e9tection positive\u00a0:

  1. R\u00e9aliser un gel de donn\u00e9es (instantan\u00e9s pour les Appliances virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique). Une fois le gel des donn\u00e9es effectu\u00e9 ou en cas d\u2019impossibilit\u00e9 de maintenir un isolement des \u00e9quipements physiques, proc\u00e9der aux mesures de contournements et recommandations mentionn\u00e9es dans la section suivante.

  2. Signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRT m\u00e9tiers. Le CERT-FR vous recontactera si n\u00e9cessaire pour le traitement de l\u2019incident ou vous communiquera des \u00e9l\u00e9ments suppl\u00e9mentaires.

Par ailleurs, le CERT-FR r\u00e9alise r\u00e9guli\u00e8rement des scans \u00e0 partir des IP mentionn\u00e9es dans la page associ\u00e9e [6] et contacte les entit\u00e9s identifi\u00e9es comme vuln\u00e9rables ou compromises.

","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Ivanti Connect Secure et Policy Secure Gateways","vendor_advisories":[{"published_at":"2024-01-10","title":"[0] Bulletin de s\u00e9curit\u00e9 Ivanti 000090123","url":"https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways"}]}