Quand on pense à des services VPN, particulièrement lorsque ces derniers sont payants, on imagine rarement que ces derniers puissent propager des malware. Et c’est pourtant ce qui est arrivé à la firme Ivanti – qui édite une solution VPN présentée comme particulièrement sécurisée.
Selon le blog Mandiant (filiale de Google Cloud), deux vulnérabilités, enregistrées sous les références CVE-2023-46805 et CVE-2024-21887, permettent à des acteurs mal intentionnés d’exécuter des commandes arbitraires avec des privilèges élevés sur les appareils connectés aux VPN Ivanti Secure Connect.
Faites très attention si vous utilisez un VPN édité par Ivanti
Ivanti a déjà le 10 janvier dernier patché ses systèmes, mais un contournement aurait été trouvé par des acteurs – la faille étant activement exploitée, par des pirates, comme ce qui ressemble fort, à en croire Mendiant, à des agents secrets chinois.
Depuis, Ivanti continue de patcher ses systèmes pour colmater ces brèches. Au moment où nous écrivons ces lignes la résolution est toujours en cours de déploiement. On apprend que les acteurs basés en Chine ont utilisé ces failles pour propager un dangereux loader, KrustyLoader.
Ce dernier permet par la suite d’installer des applications arbitraires, dont des spyware et autres malware. Comme nous vous le disions, Ivanti est en train, depuis le 31 janvier 2024, de publier un patch pour mettre fin au problème. Il est également possible d’installer un fichier .xml spécial avant l’arrivée de ce patch pour corriger ces failles.
Mandiant propose également un outil de vérification d’intégrité externe, qui permet de vérifier les tentatives de modification des journaux et autres logs – pour repérer toute activité suspecte. Au-delà, Mendiant conseille de changer les mots de passe de tous les appareils connectés aux VPN Ivanti
Un guide proposé par la filiale de Google, explique également comment renforcer la sécurité des machines qui utilisent ce service VPN. Vous pouvez le retrouver facilement en consultant le lien en source de cet article et en descendant à l’intertitre Hardening guide.
Bien sûr, une des options également sur la table est de ne plus utiliser, lorsque cela est possible, le VPN édité par Ivanti. D’autres services VPN commerciaux reposent sur des protocoles et modalité de sécurité différents, qui, à notre connaissance, ne sont pas concernés par ces failles.
- Ivanti est visé par deux failles de sécurité touchant son service VPN Ivanti Secure Connect.
- Ces failles permettent à des cybercriminels d’exécuter des commandes arbitraires avec privilèges élevés sur des machines connectées au service.
- La firme a édité un premier patch – rapidement contourné par des acteurs malveillants.
- Un nouveau patch, édité le 30 janvier, devrait toutefois mettre définitivement fin au problème.
- Une filiale de Google édite par ailleurs un guide pour renforcer la sécurité des entreprises qui reposent sur la solution VPN Ivanti Connect Secure.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Ivanti c’est Pulse Secure (avant qu’il soit racheté en 2020) une des solutions majeures d’accès VPN pour les entreprises, ce n’est pas un VPN “commercial” comme on en voit plein d’autre sur me marché, donc dire “utilisez un autre VPN” n’a pas vraiment de sens puisque le grand public n’utilise pas ce type de VPN.