Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

8 avril 2024 : Ivanti Connect Secure & Policy Secure : Débordement de tas, déréférencement de pointeur nul, débordement de tas et expansion d'entité XML / XXE

Impact mondial (au moment de la diffusion)

- 23 240 hôtes Connect Secure en contact avec le public dans le monde entier
- 100 de ces hôtes ont des capacités ICS/SCADA
- Plus de 120 de ces hôtes ont des capacités de base de données

Principaux pays touchés :
1. ÉTATS-UNIS
2. Japon
3. L'Allemagne
4. ROYAUME-UNI
5. La France


Résumé

Censys est conscient que le 2 avril 2024, Ivanti a publié les quatre vulnérabilités suivantes qui affectent "toutes les versions prises en charge" de ses produits Connect Secure et Policy Secure associés :
CVE-2024-21894 (débordement de tas)
CVE-2024-22052 (déréférencement de pointeur nul)
CVE-2024-22053 (débordement de tas)
CVE-2024-22023 (expansion d'entité XML ou XXE).

Descriptions des actifs
Connect Secure est une "solution VPN permettant aux utilisateurs distants et mobiles d'accéder aux ressources de l'entreprise à partir de n'importe quel appareil compatible avec le web".
Policy Secure "(IPS) est une solution de contrôle d'accès au réseau (NAC) qui fournit un accès au réseau uniquement aux utilisateurs et appareils autorisés et sécurisés".

Impact

Les effets combinés ou même séparés de l'exploitation des vulnérabilités suivantes par des adversaires perturberaient probablement les capacités d'accès à distance sécurisé d'une organisation cliente via Connect Secure et créeraient des problèmes pour les employés accédant aux services de l'entreprise via le produit Policy Secure. L'ampleur des effets de telles attaques dépendrait de l'importance de la dépendance d'une organisation à l'égard de ces deux produits pour d'autres actifs et opérations dans l'ensemble de l'entreprise.

La vulnérabilité de débordement de tas de CVE-2024-21894 permet à un attaquant non authentifié d'envoyer des requêtes pour bloquer les ressources, provoquant ainsi une attaque DoS et pouvant également conduire à l'exécution d'un code arbitraire.

La vulnérabilité de déréférencement de pointeur nul de CVE-2024-22052 permet à un attaquant non authentifié de tenter la même attaque par déni de service.

La vulnérabilité de débordement de tas de CVE-2024-22053 permet à un attaquant non authentifié de tenter la même attaque DoS ou, dans certaines conditions, de lire le contenu de la mémoire.

La vulnérabilité CVE-2024-22023 relative à l'expansion des entités XML permet à un attaquant non authentifié de provoquer temporairement l'épuisement des ressources, ce qui entraîne un déni de service limité dans le temps.

Actifs touchés

Selon Ivanti, ce problème affecte toutes les versions prises en charge de Connect Secure et Policy Secure Gateways - "Version 9.x et 22.x".
CensysL'équipe de réponse rapide d' Ivantia été en mesure d'identifier les équipements Connect Secure d'Ivanti. Étant donné que les actifs Ivanti Policy Secure sont des actifs qui travaillent avec les actifs Connect Secure derrière les périmètres du réseau, Censys recommande de rechercher ces actifs en interne. Vous trouverez ci-dessous des requêtes qui vous permettront de découvrir avec précision les actifs Connect Secure accessibles au public, affectés par les vulnérabilités susmentionnées et récemment observés dans le cadre de nos analyses.

Censys Nom du risque ASM pour les appareils potentiellement vulnérables
"Application sécurisée Ivanti Connect vulnérable [CVE-2024-21894, CVE-2024-22052, CVE-2024-22053, CVE-2024-22023]"
Censys Les clients ASM verront ce risque appliqué aux actifs affectés dans leurs espaces de travail. Ceux qui se sont inscrits au service Rapid Response Automated Risk Alerting seront contactés directement au sujet des biens concernés.

Censys Requête ASM pour les actifs exposés.
Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.

Censys Requête de recherche
services.software : (fournisseur : "Ivanti" et produit : "Connect Secure")

Recommandations pour l’assainissement

Ivanti indique qu'"un correctif est disponible dès à présent pour toutes les versions prises en charge du produit via le portail de téléchargement standard.Nous encourageons vivement les clients à agir immédiatement pour s'assurer qu'ils sont entièrement protégés.
Versions du correctif :
Ivanti Connect Secure : 22.1R6.2, 22.2R4.2, 22.3R1.2, 22.4R1.2, 22.4R2.4, 22.5R1.3, 22.5R2.4, 22.6R2.3, 9.1R14.6, 9.1R15.4, 9.1R16.4, 9.1R17.4 et 9.1R18.5.
Ivanti Policy Secure : 22.4R1.2, 22.5R1.3, 22.6R1.2, 9.1R16.4, 9.1R17.4 et 9.1R18.5".

Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.

Solutions de gestion de la surface d'attaque
En savoir plus