Avis du 14 février : Vulnérabilités critiques dans Ivanti Connect Secure, Policy Secure et CSA [CVE-2025-22467 & 3 autres].

Date de la divulgation (source) : 11 février 2025

Plusieurs vulnérabilités ont été découvertes dans Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Cloud Services Appliance (CSA) le 11 février 2025. Ivanti a divulgué un total de dix vulnérabilités, dont huit dans l'avis de sécurité du mois de février. Avis de sécurité de février et deux dans leur CSA Security Advisory. Sur les dix vulnérabilités nouvellement identifiées, quatre ont reçu un score CVSS de 9.1 ou plus (gravité critique).

Ventilation des vulnérabilités critiques : 

• CVE-2025-22467 est une vulnérabilité de type débordement de pile affectant Ivanti Connect Secure avant la version 22.7R2.6, avec un score CVSS de 9.9. Une exploitation réussie permet à un attaquant distant authentifié de réaliser une exécution de code à distance (RCE) 
• CVE-2024-38657 et CVE-2024-10644 sont des vulnérabilités critiques affectant Ivanti Connect Secure (avant la version 22.7R2.4) et Policy Secure (avant la version 22.7R1.3), toutes deux ayant un score CVSS de 9.1.
  • CVE-2024-38657 peut permettre à un attaquant authentifié à distance disposant de privilèges administratifs d'écrire des fichiers arbitraires s'il est exploité.
  • CVE-2024-10644 peut permettre à un attaquant authentifié à distance disposant de privilèges administratifs de réaliser un RCE s'il est exploité. 
• CVE-2024-47908 est une vulnérabilité critique affectant la console web d'administration de Ivanti Cloud Services Appliance (CSA) avant la version 5.0.5, avec un score CVSS de 9.1. Une exploitation réussie permet à un attaquant distant authentifié avec des privilèges administratifs de réaliser une exécution de code à distance (RCE)
  

Il est intéressant de noter que toutes ces vulnérabilités nécessitent une authentification et que toutes, sauf une, requièrent des privilèges administratifs. Cela représente un obstacle important à l'exploitation réussie de ces vulnérabilités par rapport à celles qui permettent une exploitation sans authentification. Malgré cela, Ivanti a attribué à toutes ces vulnérabilités un score de gravité critique. 

L'éditeur a déclaré qu'il n'avait pas connaissance d'une exploitation active de ces vulnérabilités, bien que les vulnérabilités d'Ivanti aient déjà été ciblées par le passé. 

Au 12 février 2025, il y a 16 vulnérabilités d'Ivanti, dont sept divulguées au cours de l'année écoulée, répertoriées dans le catalogue des vulnérabilités exploitées connues de la CISA, qui affectent un ou plusieurs des produits suivants :

• Ivanti Pulse Secure (rebaptisé Ivanti Connect Secure en 2020)
• Ivanti Connect Secure 
• Ivanti Policy Secure 
• Ivanti Cloud Services Appliance 

Compte tenu de la gravité de ces vulnérabilités et du ciblage historique d'Ivanti, les entreprises doivent appliquer rapidement les correctifs et les mesures d'atténuation décrits dans les avis de l'éditeur. 

Champ d'application	Détails
CVE-ID	CVE-2025-22467 - CVSS 9.9 (critique) - attribué par Ivanti CVE-2024-10644 - CVSS 9.1 (critique) - attribué par Ivanti CVE-2024-38657 - CVSS 9.1 (critique) - attribué par Ivanti CVE-2024-47908 - CVSS 9.1 (critique) - attribué par Ivanti
Description de la vulnérabilité	CVE-2025-22467 - a débordement de mémoire tampon basé sur la pile vulnérabilité qui permet à un attaquant authentifié à distance de réaliser des RCE. CVE-2024-10644 - a injection de code Cette vulnérabilité permet à un attaquant authentifié à distance et disposant des privilèges d'administrateur de réaliser RCE. CVE-2024-38657 - contrôle externe d'un nom de fichiere dans Ivanti Connect Secure qui permet à un attaquant authentifié à distance et disposant de privilèges administratifs de écrire des fichiers arbitraires. CVE-2024-47908 - une injection de commande du injection de commande OS dans la console web d'administration d'Ivanti CSA qui permet à un attaquant authentifié à distance et disposant de privilèges d'administration de réaliser un RCE.
Date de la divulgation	Ces vulnérabilités ont été révélées par Ivanti le 11 février 2025 dans son Avis de sécurité de février et dans un avis de sécurité pour Ivanti CSA.
Actifs touchés	CVE-2025-22467 affecte Ivanti Connect Secure. CVE-2024-38657 et CVE-2024-10644 affectent Ivanti Connect Secure et Policy Secure. CVE-2024-47908 affecte la console web console web d'administration de Ivanti CSA.
Versions de logiciels vulnérables	Ivanti Connect Secure avant la version 22.7R2.6 (CVE-2025-22467). Ivanti Connect Secure avant la version 22.7R2.4 et Policy Secure avant la version 22.7R1.3 (CVE-2024-38657 & CVE-2024-10644). Ivanti CSA avant la version 5.0.5. (CVE-2024-47908)
PoC disponible ?	Nous n'avons pas observé d'exploits publics disponibles pour ces vulnérabilités au moment de la rédaction de ce document.
Statut d'exploitation	Nous n'avons observé aucune de ces vulnérabilités sur la liste de la CISA des vulnérabilités exploitées connues, et Ivanti a déclaré qu'elle n'avait pas connaissance d'une exploitation active.
Statut du patch	Ces vulnérabilités ont été corrigées par Ivanti. Voir leur Avis de sécurité de février et Avis de sécurité CSA pour plus d'informations.

Censys Perspective

Au moment de la rédaction du présent rapport, Censys a observé 33,232 d'instances Ivanti Connect Secure et Ivanti CSA exposées en ligne. Une grande partie d'entre elles (28%) sont géolocalisées aux États-Unis. Il est à noter que toutes les instances observées ne sont pas nécessairement vulnérables, car nous ne disposons pas toujours de versions spécifiques.

We did, however, see 14,574 instances of Ivanti Connect Secure exposing a version that may indicate vulnerability to CVE-2025-22467 (versions < 22.7R2.6) and CVE-2024-38657/CVE-2024-10644 (versions < 22.7R2.4). See the table below for the versions we saw most frequently exposed. 

Version	Nombre d'hôtes
9.1.18	10106
9.1.14	919
22.3.17	711
8.3.7	497
9.1.11	249
9.1.15	194
22.2.16	142
8.1.15	126
9.1.12	120
9.1.13	118

Il existe un grand nombre de versions correspondant à 9.X et 8.Xd'Ivanti Connect Secure (anciennement Pulse Connect Secure), qui ont atteint leur date de fin d'ingénierie et de support. Ivanti a fortement recommandé à ses clients de mettre à jour ces instances vers Ivanti Connect Secure 22.7 pour profiter des nouvelles mises à jour de sécurité et des fonctionnalités.

Carte des instances Ivanti Connect Secure et CSA exposées

Censys Requête de recherche :

services.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not labels: {honeypot, tarpit}

Censys Platform Query :

(host.services.software: (vendor:"Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not host.labels.value: {"HONEYPOT", "TARPIT"}) or (web.software: (vendor:"Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not web.labels.value: {"HONEYPOT", "TARPIT"})

Censys Requête ASM :

(host.services.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) or web_entity.instances.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"})) and not host.labels: {honeypot, tarpit}

Censys ASM Risk Query [CVE-2024-10644 & CVE-2024-38657] :

risks.name = "Vulnerable Ivanti Connect Secure Application [CVE-2024-10644 & CVE-2024-38657]"

Censys ASM Risk Query [CVE-2025-22467] :

risks.name = "Vulnerable Ivanti Connect Secure Application [CVE-2025-22467]"

Références

• Février Avis de sécurité Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) et Ivanti Secure Access Client (ISAC) (CVEs multiples)
• Avis de sécurité Ivanti Cloud Services Application (CSA) (CVE-2024-47908, CVE-2024-11771)
• CVE-2025-22467 Avis de la NVD
• CVE-2024-10644 Avis de la NVD
• CVE-2024-47908 Avis de la NVD