{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Pulse Connect Secure versions ant\u00e9rieures \u00e0 22.7R2.6","product":{"name":"Pulse Connect Secure","vendor":{"name":"Ivanti","scada":false}}},{"description":"Zero Trust Access Gateways versions ant\u00e9rieures \u00e0 22.8R2.2","product":{"name":"Zero Trust Access gateways","vendor":{"name":"Ivanti","scada":false}}},{"description":"Ivanti Policy Secure (IPS) versions ant\u00e9rieures \u00e0 22.7R1.4","product":{"name":"Policy Secure (IPS)","vendor":{"name":"Ivanti","scada":false}}},{"description":"Ivanti Connect Secure (ICS) versions ant\u00e9rieures \u00e0 22.7R2.6","product":{"name":"Connect Secure (ICS)","vendor":{"name":"Ivanti","scada":false}}}],"affected_systems_content":"L'\u00e9diteur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure.\nL'\u00e9diteur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 d\u00e9cembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version \u00e0 jour.","closed_at":"2025-06-24","content":"## Solutions\n\n**[Mise \u00e0 jour du 04 avril 2025]**\n\nLes recommandations suivantes sont list\u00e9es par ordre de priorit\u00e9.\n* isoler totalement la machine concern\u00e9e du r\u00e9seau, vis-\u00e0-vis d'Internet comme du r\u00e9seau interne, afin de limiter les risques de lat\u00e9ralisation ;\n* en cas d'utilisation d'une appliance virtuelle, r\u00e9aliser un instantan\u00e9 du syst\u00e8me de fichier et de la m\u00e9moire vive ;\n* si possible, \u00e9viter d'\u00e9teindre la machine afin de conserver les traces n\u00e9cessaires aux investigations ;\n* mettre sous s\u00e9questre les journaux collect\u00e9s ;\n* proc\u00e9der \u00e0 l\u2019analyse des serveurs afin d\u2019identifier une possible compromission \u00e0 l\u2019aide des indicateurs de compromission publi\u00e9s par Mandiant [2] ;\n* l'\u00e9diteur recommande d'ex\u00e9cuter les versions externes de son script Integrity Check Tool (ICT) ;\n* en cas de compromission :\n    * signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR en mettant en copie vos \u00e9ventuels CSIRTs m\u00e9tier et consulter les bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information [3] ;\n    * effectuer une remise \u00e0 la configuration de sortie d'usine (*Factory Reset*) [4] ;\n        * le CERT-FR rappelle que certaines menaces peuvent persister \u00e0 une r\u00e9initialisation, ce dont l'utilisation dans les contextes sensibles doit tenir compte ;\n    * proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (*firmware*) si le correctif est disponible ;\n    * consid\u00e9rer les secrets stock\u00e9s sur l'\u00e9quipement, ou y ayant transit\u00e9 en clair, comme compromis. Les actions suivantes sont d\u00e8s lors n\u00e9cessaires :\n        * r\u00e9initialiser les secrets li\u00e9s au LDAP ou \u00e0 l'Active Directory, si configur\u00e9.\n            * le CERT-FR a connaissance de lat\u00e9ralisation utilisant ces secrets.\n        * r\u00e9voquer et r\u00e9\u00e9mettre tous les certificats pr\u00e9sents sur les \u00e9quipements affect\u00e9s :\n            * certificats utilis\u00e9s pour les machines et/ou pour l\u2019authentification utilisateur (cot\u00e9 client et serveur) ;\n            * certificats de signature de code et les certificats TLS pour l\u2019interface expos\u00e9e.\n        * r\u00e9initialiser le mot de passe d'administration ;\n        * r\u00e9initialiser les cl\u00e9s d\u2019API stock\u00e9es sur l\u2019\u00e9quipement ;\n        * r\u00e9initialiser les mots de passe de tout compte local d\u00e9fini sur la passerelle, y compris les comptes de service utilis\u00e9s dans la configuration li\u00e9e aux serveurs d\u2019authentification ;\n        * r\u00e9voquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilis\u00e9s.\n        * r\u00e9initialiser les authentifications des serveurs de licence.\n    * Une fois la machine isol\u00e9e et les collectes r\u00e9alis\u00e9es, conduire une recherche de lat\u00e9ralisation sur votre syst\u00e8me d'information depuis l'\u00e9quipement compromis, notamment :\n        * en recherchant les indicateurs de compromission d\u00e9crits plus bas dans cette alerte ;\n        * en cherchant les connexions ou tentatives de connexion vers Internet depuis l'\u00e9quipement ;\n        * puis en cherchant ces adresses IP de destination pour v\u00e9rifier si d\u2019autres machines ont tent\u00e9 une connexion.\n* En cas d'absence de compromission :\n    * proc\u00e9der \u00e0 une mont\u00e9e de version du micrologiciel (*firmware*) si le correctif est disponible ;\n    * si aucune mise \u00e0 jour correctrice n'est disponible, l'\u00e9quipement est \u00e0 risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, d\u00e9connectez l'\u00e9quipement d'Internet.\n    * surveiller l'activit\u00e9 des comptes et des services li\u00e9s \u00e0 l'\u00e9quipement, notamment le compte de service LDAP ou Active Directory, si celui a \u00e9t\u00e9 configur\u00e9.","cves":[{"name":"CVE-2025-22457","url":"https://www.cve.org/CVERecord?id=CVE-2025-22457"}],"links":[{"title":"Avis CERT-FR CERTFR-2025-AVI-0273 du 3 avril 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0273/"},{"title":"[1] Bulletin de s\u00e9curit\u00e9 Ivanti April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457 du 03 avril 2025","url":"https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457"},{"title":"[2] Rapport Mandiant du 3 avril 2025","url":"https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability?hl=en"},{"title":"Avis CERT-FR CERTFR-2025-AVI-0121 du 12 f\u00e9vrier 2025","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0121/"},{"title":"[4] Bulletin technique Ivanti relatif \u00e0 la r\u00e9initialisation de l'\u00e9quipement","url":"https://forums.ivanti.com/s/article/KB22964?language=en_US"},{"title":"[3] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"Bulletin de s\u00e9curit\u00e9 Ivanti du 11 f\u00e9vrier 2025","url":"https://forums.ivanti.com/s/article/February-Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-and-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs?language=en_US"}],"reference":"CERTFR-2025-ALE-003","revisions":[{"description":"Version initiale","revision_date":"2025-04-03T00:00:00.000000"},{"description":"Ajout des recommandations","revision_date":"2025-04-04T00:00:00.000000"},{"description":"Ajout de la connaissance d'un POC","revision_date":"2025-04-11T00:00:00.000000"},{"description":" Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante. ","revision_date":"2025-06-24T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<span class=\"important-content\">**\\[Mise \u00e0 jour du 11 avril 2025\\]** </span>\n\nLe CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n\n**[Mise \u00e0 jour du 04 avril 2025]** \n\nLe CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer un arr\u00eat du serveur Web.\n\n**[Publication initiale]**\n\nUne vuln\u00e9rabilit\u00e9 critique de type d\u00e9bordement de pile a \u00e9t\u00e9 d\u00e9couverte dans Pulse Connect Secure, Ivanti Connect Secure (ICS), Policy Secure (IPS) et Zero Trust Access (ZTA) Gateways. Cette vuln\u00e9rabilit\u00e9, d'identifiant CVE-2025-22457, permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une ex\u00e9cution de code arbitraire \u00e0 distance.\n\nIvanti indique que cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e [1].\n\nLa mise \u00e0 jour corrective pour les ICS est disponible depuis le 11 f\u00e9vrier 2025. Dans son rapport [2], Mandiant indique avoir constat\u00e9 des traces d'exploitation depuis la mi-mars 2025. Il peut cependant \u00eatre utile d'effectuer une recherche de compromission m\u00eame si les correctifs ont \u00e9t\u00e9 pr\u00e9alablement install\u00e9s.\n\n\u00c0 titre de pr\u00e9cision, la vuln\u00e9rabilit\u00e9 CVE-2025-22457 est distincte de la vuln\u00e9rabilit\u00e9 CVE-2025-0282, qui affecte sensiblement les m\u00eames produits, et qui a fait l'objet de l'alerte [CERTFR-2025-ALE-001](https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-001/).\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans les produits Ivanti","vendor_advisories":[]}