Objet: Vulnérabilité dans les produits Ivanti

Résumé

Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d'identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Ivanti indique que cette vulnérabilité est activement exploitée.

Solutions

Les étapes suivantes doivent être suivies indépendamment d'une mise à jour précédemment réalisée vers une version corrective. Dans son billet de blogue [3], Mandiant précise avoir observé une compromission du processus de mise à jour de l'équipement.

• En cas d'utilisation d'une appliance virtuelle, réaliser un instantané ;

• Exécuter les versions internes et externes du script Integrity Check Tool (ICT) publié par Ivanti :

  • l'éditeur indique que la dernière version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ultérieures. Il est donc nécessaire d'utiliser une version antérieure de l'outil ;
  • il est nécessaire d'exécuter la version externe d'ICT même en cas de résultat négatif de l'outil interne ;
  • dans son billet de blogue [3], Mandiant précise qu'il est nécessaire de vérifier que l'ensemble des étapes de l'outil sont réalisées (dix étapes) et de ne pas se fier uniquement au résultat final présenté.

• Effectuer une recherche de compromission au niveau de l'équipement :

  • effectuer une recherche sur les indicateurs de compromissions présentés par Mandiant [3] ;
    Note : Ces indicateurs n'ont pas été qualifiés par le CERT-FR.
  • rechercher toutes traces de latéralisation sur le reste du système d’information, notamment :
    • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
    • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.

• Si aucune mise à jour correctrice n'est disponible, l'équipement est à risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.

• En cas d'absence de compromission :

  • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
  • surveiller l'activité des comptes et des services liés à l'équipement, notamment le compte de service LDAP, si celui a été configuré.

• En cas de compromission détectée :

  • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [4] ;
  • isoler l'équipement du réseau et sauvegarder les journaux liés à l'équipement ;
  • effectuer une remise à la configuration de sortie d'usine (Factory Reset) [1] ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
    • si aucune mise à jour correctrice n'est disponible, contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
  • suivre les étapes listées dans le bulletin technique d'Ivanti [2] et en particulier :
    • révoquer et réémettre tous les certificats présents sur les équipements affectés :
      • certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
      • certificats de signature de code et les certificats TLS pour l’interface exposée.
    • réinitialiser le mot de passe d'administration ;
    • réinitialiser les clés d’API stockées sur l’équipement ;
    • réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;
      • révoquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilisés.
    • réinitialiser les authentifications des serveurs de licence.