{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Neurons for ZTA gateways versions 22.7R2.x ant\u00e9rieures \u00e0 22.7R2.5.","product":{"name":"Neurons for Zero Trust Access (ZTA) gateways","vendor":{"name":"Ivanti","scada":false}}},{"description":"Policy Secure (IPS) toutes versions 22.7R1.x","product":{"name":"Policy Secure (IPS)","vendor":{"name":"Ivanti","scada":false}}},{"description":"Connect Secure (ICS) versions 22.7R2.x ant\u00e9rieures \u00e0 22.7R2.5","product":{"name":"Connect Secure (ICS)","vendor":{"name":"Ivanti","scada":false}}}],"affected_systems_content":"L'\u00e9diteur indique que les correctifs pour Policy Secure et Neurons for ZTA gateways seront disponibles le 21 janvier.","closed_at":"2025-05-07","content":"## Solutions\n\n<span class=\"important-content\">**\\[Mise \u00e0 jour du 01 avril 2025\\]** </span>\n\nLa CISA [5] fournit des indicateurs de compromission ainsi qu'une r\u00e8gle de d\u00e9tection *YARA*, servant \u00e0 d\u00e9terminer si un \u00e9quipement est compromis par le maliciel *RESURGE*.<br />\n<em>Note : Ces \u00e9l\u00e9ments n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.</em>\n\n**\\[Mise \u00e0 jour du 14 janvier 2025\\]**\n\nL'\u00e9diteur a indiqu\u00e9 avoir publi\u00e9 une nouvelle version externe de l'outil Integrity Check Tool, ICT-V22725 (build 3819), compatible avec les versions 22.x R2. \n\n**[Publication initiale]**\n\nLes \u00e9tapes suivantes doivent \u00eatre suivies ind\u00e9pendamment d'une mise \u00e0 jour pr\u00e9c\u00e9demment r\u00e9alis\u00e9e vers une version corrective. Dans son billet de blogue [3], Mandiant pr\u00e9cise avoir observ\u00e9 une compromission du processus de mise \u00e0 jour de l'\u00e9quipement.\n\n* En cas d'utilisation d'une appliance virtuelle, r\u00e9aliser un instantan\u00e9 ;\n* Ex\u00e9cuter les versions internes et externes du script Integrity Check Tool (ICT) publi\u00e9 par Ivanti : \n    * l'\u00e9diteur indique que la derni\u00e8re version (ICT-V22725) du script externe ICT est uniquement compatible avec les versions 22.7R2.5 et ult\u00e9rieures. Il est donc n\u00e9cessaire d'utiliser une version ant\u00e9rieure de l'outil ;\n    * il est n\u00e9cessaire d'ex\u00e9cuter la version externe d'ICT m\u00eame en cas de r\u00e9sultat n\u00e9gatif de l'outil interne ;\n    * dans son billet de blogue [3], Mandiant pr\u00e9cise qu'il est n\u00e9cessaire de v\u00e9rifier que l'ensemble des \u00e9tapes de l'outil sont r\u00e9alis\u00e9es (dix \u00e9tapes) et de ne pas se fier uniquement au r\u00e9sultat final pr\u00e9sent\u00e9.\n* Effectuer une recherche de compromission au niveau de l'\u00e9quipement :\n    * effectuer une recherche sur les indicateurs de compromissions pr\u00e9sent\u00e9s par Mandiant [3] ; <br>*Note : Ces indicateurs n'ont pas \u00e9t\u00e9 qualifi\u00e9s par le CERT-FR.*\n    * rechercher toutes traces de lat\u00e9ralisation sur le reste du syst\u00e8me d\u2019information, notamment :\n        * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'\u00e9quipement ;\n        * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n\n* Si aucune mise \u00e0 jour correctrice n'est disponible, l'\u00e9quipement est \u00e0 risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, d\u00e9connectez l'\u00e9quipement d'Internet.\n\n* En cas d'absence de compromission :\n    * proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (*firmware*) si le correctif est disponible ;\n    * surveiller l'activit\u00e9 des comptes et des services li\u00e9s \u00e0 l'\u00e9quipement, notamment le compte de service LDAP, si celui a \u00e9t\u00e9 configur\u00e9.\n\n* En cas de compromission d\u00e9tect\u00e9e :\n    * signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information [4] ;\n    * isoler l'\u00e9quipement du r\u00e9seau et sauvegarder les journaux li\u00e9s \u00e0 l'\u00e9quipement ;\n    * effectuer une remise \u00e0 la configuration de sortie d'usine (*Factory Reset*) [1] ET proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (*firmware*) si le correctif est disponible ;\n        * si aucune mise \u00e0 jour correctrice n'est disponible, contactez le service d'assistance Ivanti et, dans la mesure du possible, d\u00e9connectez l'\u00e9quipement d'Internet.\n    * suivre les \u00e9tapes list\u00e9es dans le bulletin technique d'Ivanti [2] et en particulier :\n        * r\u00e9voquer et r\u00e9\u00e9mettre tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s :\n            * certificats utilis\u00e9s pour les machines et/ou pour l\u2019authentification utilisateur (cot\u00e9 client et serveur) ;\n            * certificats de signature de code et les certificats TLS pour l\u2019interface expos\u00e9e.\n        * r\u00e9initialiser le mot de passe d'administration ;\n        * r\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;\n        * r\u00e9initialiser les mots de passe de tout compte local d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification ;\n            * r\u00e9voquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilis\u00e9s.\n        * r\u00e9initialiser les authentifications des serveurs de licence.\n","cves":[{"name":"CVE-2025-0282","url":"https://www.cve.org/CVERecord?id=CVE-2025-0282"}],"links":[{"title":"[3] Billet de blogue Mandiant du 08 janvier 2025","url":"https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day"},{"title":"[1] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l'\u00e9quipement","url":"https://forums.ivanti.com/s/article/KB22964?language=en_US"},{"title":"Avis CERTFR-2025-AVI-0014 du 09 janvier 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0014/"},{"title":"[2] Bulletin technique Ivanti relatif \u00e0 la rem\u00e9diation d'un \u00e9quipement compromis","url":"https://forums.ivanti.com/s/article/Recovery-Steps?language=en_US"},{"title":"[5] La CISA publie un rapport d'analyse sur le logiciel malveillant RESURGE associ\u00e9 \u00e0 Ivanti Connect Secure ","url":"https://www.cisa.gov/news-events/alerts/2025/03/28/cisa-releases-malware-analysis-report-resurge-malware-associated-ivanti-connect-secure"},{"title":"[4] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"}],"reference":"CERTFR-2025-ALE-001","revisions":[{"description":"Version initiale","revision_date":"2025-01-09T00:00:00.000000"},{"description":"Ajout de pr\u00e9cisions concernant l'outil Integrity Check Tool","revision_date":"2025-01-14T00:00:00.000000"},{"description":"Ajout d'une r\u00e9f\u00e9rence d'un rapport d'analyse de la CISA","revision_date":"2025-04-01T00:00:00.000000"},{"description":"     Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-05-07T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 jour-z\u00e9ro de type d\u00e9bordement de pile a \u00e9t\u00e9 d\u00e9couverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vuln\u00e9rabilit\u00e9, d'identifiant CVE-2025-0282, permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n\nIvanti indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e. ","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans les produits Ivanti","vendor_advisories":[{"published_at":"2025-01-08","title":"Bulletin de s\u00e9curit\u00e9 Ivanti Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283","url":"https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283"},{"published_at":"2025-01-08","title":"Bulletin de s\u00e9curit\u00e9 Ivanti security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways","url":"https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways"}]}