**Mise à jour** (13 janvier 2025) : A ce jour, nous détectons 12 335 instances d'Ivanti Connect Secure potentiellement vulnérables et exposées à l'internet qui montrent des signes d'exécution d'une version antérieure à 22.7R2.5 - environ 37% du total exposé. Seules environ 120 instances semblent appliquer le correctif. Il est recommandé d'appliquer les correctifs pour Connect Secure et les mesures d'atténuation pour les autres produits affectés dès que possible.
Date de la divulgation (source) : 8 janvier 2025
Date de déclaration d'exploitation active (source) : 8 janvier 2025
CVE-2025-0282 est une vulnérabilité critique affectant plusieurs appliances réseau IvantiIvanti Connect Secure (versions antérieures à 22.7R2.5), Ivanti Policy Secure (versions antérieures à 22.7R1.2), et Ivanti Neurons for ZTA gateways (versions antérieures à 22.7R2.3). Il s'agit d'une vulnérabilité de type débordement de pile qui permet à un attaquant distant non authentifié d'exécuter un code arbitraire sur les systèmes vulnérables.
Divulguée par Ivanti le 8 janvier 2025, la vulnérabilité a été immédiatement ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA en raison de l'exploitation observée dans la nature. Mandiant et Ivanti mènent une enquête conjointe et ont détecté une exploitation remontant à la mi-décembre. détecté une exploitation remontant à la mi-décembre 2024.. Des activités post-exploitation ont également été observées, notamment des mouvements latéraux et le déploiement de logiciels malveillants de type logiciel malveillant SPAWN sur les appareils compromis. Ces tactiques ressemblent à celles utilisées dans les campagnes précédentes par des acteurs potentiellement chinois exploitant des vulnérabilités Ivanti plus anciennes telles que CVE-2023-46805 et CVE-2024-21887.
Le nombre exact d'acteurs de la menace ciblant cette vulnérabilité reste incertain. Ivanti recommande d'utiliser son outil de vérification de l'intégrité pour identifier les signes de compromission, et Le blog de Mandiant fournit d'autres indicateurs de compromission (IoC) pour une enquête plus approfondie.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2025-0282 - CVSS 9.0 (Critique) - attribué par Ivanti |
| Description de la vulnérabilité |
Un débordement de tampon basé sur la pile dans Ivanti Connect Secure avant la version 22.7R2.5, Ivanti Policy Secure avant la version 22.7R1.2, et Ivanti Neurons for ZTA gateways avant la version 22.7R2.3 permet à un attaquant distant non authentifié de réaliser une exécution de code à distance. |
| Date de la divulgation |
8 janvier 2025 |
| Actifs touchés |
Affecte les éléments suivants :
- Ivanti Connect Secure
- Ivanti Policy Secure
- Neurones Ivanti pour passerelles ZTA
|
| Versions de logiciels vulnérables |
- Ivanti Connect Secure avant la version 22.7R2.5
- Ivanti Policy Secure avant la version 22.7R1.2
- Ivanti Neurons pour les passerelles ZTA avant la version 22.7R2.3
|
| PoC disponible ? |
À l'heure où nous écrivons ces lignes, aucun PoC n'est disponible publiquement. |
| Statut d'exploitation |
Cette vulnérabilité a été activement exploitée depuis au moins la mi-décembre 2024, selon Ivanti et Mandiant. Ivanti a indiqué qu'elle n'avait connaissance que d'une exploitation dans les instances de Connect Secure, et qu'elle "n'avait pas connaissance de l'exploitation de ces CVE dans les passerelles Ivanti Policy Secure ou ZTA". |
| Statut du patch |
Ivanti a fourni des conseils pour remédier à Connect Secure dans son avis publié le 8 janvier 2025. Ils prévoient de publier un correctif pour Ivanti Policy Secure et Ivanti Neurons for ZTA Gateways le 21 janvier 2025. |
Censys Perspective
À l'heure où nous écrivons ces lignes, Censys a identifié 33,542 exposées Ivanti Connect Secure exposées (toutes ne sont pas nécessairement vulnérables). La plupart d'entre elles sont situées aux États-Unis et au Japon, et la plupart ne divulguent pas publiquement la version de leur logiciel. La visibilité sur Policy Secure (qui n'est pas orienté vers l'internet) et Neurons for ZTA n'est pas disponible.
Carte des instances sécurisées d'Ivanti Connect exposées
Censys Requête de recherche pour les instances EXPOSÉES :
services.software: (vendor="Ivanti" and product="Connect Secure") and not labels: {honeypot, tarpit}
Censys Requête ASM pour les instances EXPOSÉES :
host.services.software: (vendor="Ivanti" and product="Connect Secure") and not host.labels: {honeypot, tarpit}
Censys ASM Risk Query for Potentially Vulnerable Instances (Requête de risque ASM pour les instances potentiellement vulnérables) :
risks.name: "Vulnerable Ivanti Connect Secure Application [CVE-2025-0282 & CVE-2025-0283]"
Notez que ce risque a été récemment déployé et que les résultats peuvent prendre 24 heures pour se propager complètement.
Références
