Les chasseurs de menaces s’affairent à évaluer l’ampleur des dommages et l’impact potentiel d’une vulnérabilité critique de type zero-day touchant trois produits d’Ivanti, y compris les appareils VPN Ivanti Connect Secure.
Des analyses effectuées par Shadowserver ont permis d’identifier plus de 900 instances non corrigées d’Ivanti Connect Secure dimanche, signalant que ces dispositifs sont susceptibles d’être exploités. Ce nombre d’instances non patchées a diminué par rapport aux plus de 2 000 identifiées jeudi dernier.
Cette organisation à but non lucratif, qui analyse l’activité malveillante et collabore avec plus de 200 équipes nationales de réponse aux incidents de sécurité informatique dans 175 pays, a été invitée à ne pas divulguer comment elle a identifié ces instances non patchées, mais n’a pas reçu de retours de faux positifs, a indiqué Piotr Kijewski, le PDG de Shadowserver, dans un email adressé à Cybersecurity Dive vendredi.
Les chercheurs sont particulièrement inquiets d’une éventuelle exploitation généralisée de cette vulnérabilité zero-day en raison d’attaques antérieures liées à des défauts logiciels dans les produits d’Ivanti.
« Il n’est pas surprenant qu’un groupe de menaces motivé ait réussi à découvrir un nouveau vecteur d’attaque dans une technologie populaire qui se trouve généralement exposée dans les environnements des organisations, peu importe le fournisseur », a déclaré Caitlin Condon, directrice de l’intelligence sur les vulnérabilités chez Rapid7, par email.
Cette vulnérabilité critique de débordement de tampon basée sur la pile, CVE-2025-0282, a été découverte presque un an après qu’un groupe de menaces ait exploité deux autres zero-days dans un produit Ivanti.
Ivanti Connect Secure est le seul produit connu à être affecté par l’exploitation active de cette nouvelle vulnérabilité zero-day, mais la CVE-2025-0282 impacte également Ivanti Policy Secure et les passerelles Ivanti Neurons for ZTA.
Ivanti indique n’avoir pas observé de preuve d’exploitation active de la CVE-2025-0282 dans Ivanti Policy Secure ou les passerelles Neurons for ZTA, et prévoit de publier un correctif pour ces produits le 21 janvier.
L’entreprise a également découvert une vulnérabilité de débordement de tampon sévère, CVE-2025-0283, touchant les trois mêmes produits d’Ivanti. « Nous n’avons aucune indication que la CVE-2025-0283 soit exploitée ou liée à la CVE-2025-0282 », a précisé Ivanti dans un avis de sécurité sur son forum communautaire.
État des lieux sur le nouveau zero-day
Le moment choisi par Ivanti pour ses efforts de réponse et de récupération, ainsi que la fenêtre d’opportunité pour les groupes de menaces de procéder à des exploitations actives avant la divulgation publique, est significatif.
L’outil de vérification d’intégrité d’Ivanti a identifié l’exploitation active de la CVE-2025-0282 le jour même, a communiqué un porte-parole de l’entreprise vendredi.
Le nouveau zero-day a été activement exploité pendant plusieurs semaines avant qu’Ivanti publie un correctif pour Ivanti Connect Secure et divulgue publiquement la vulnérabilité mercredi dernier. Mandiant a confirmé avoir trouvé une exploitation active du zero-day sur le terrain dès la mi-décembre 2024, selon un briefing d’intelligence sur les menaces de mercredi.
« Ivanti a travaillé en étroite collaboration avec tous les clients concernés avant la divulgation, en s’associant avec des experts en sécurité de Mandiant et de Microsoft Threat Intelligence pour répondre à cette menace et publier un correctif, » a ajouté le porte-parole d’Ivanti. « L’exploitation jusqu’à présent a été limitée. »
Ivanti, qui a publié un correctif pour la CVE dans Ivanti Connect Secure au moment de la divulgation, n’a pas précisé combien de clients demeurent exposés ou sont déjà affectés par une exploitation active.
La Cybersecurity and Infrastructure Security Agency a ajouté la CVE-2025-0282 à son catalogue des vulnérabilités connues exploitées mercredi.
Selon Censys vendredi, plus de 33 500 instances d’Ivanti Connect Secure sont actuellement exposées publiquement. La plupart des instances accessibles sur Internet, qui ne sont pas nécessairement vulnérables à l’exploitation, se trouvent aux États-Unis et au Japon, selon un avis de Censys.
« Les dispositifs en périmètre de réseau sont des cibles privilégiées pour les attaquants en général, quelle que soit la marque ou la gamme de produits », a déclaré Condon. « D’après les informations disponibles concernant la CVE-2025-0282, l’activité de menace est partiellement attribuée à un groupe de menaces soutenu par un État qui a déjà ciblé ces dispositifs, ce qui signifie qu’ils disposent probablement de ressources, de motivation forte et de connaissances spécialisées sur les dispositifs Ivanti Connect Secure. »
Les organisations ont été frappées par de multiples vulnérabilités activement exploitées dans divers produits d’Ivanti l’année dernière, y compris l’Ivanti Cloud Service Appliance et l’Ivanti Endpoint Manager.
Bon à savoir
- La vulnérabilité CVE-2025-0282 touche des produits clés d’Ivanti, soulignant l’importance de mises à jour fréquentes.
- Ivanti s’engage à travailler avec ses clients et experts de la sécurité pour atténuer les risques liés à ces vulnérabilités.
- Les entreprises doivent rester vigilantes face aux menaces et opportunités d’exploitation qui peuvent surgir de vulnérabilités critiques.
En conclusion, cette situation pose une question essentielle sur la résilience des systèmes de sécurité numérique face à des menaces toujours croissantes. Comment les entreprises peuvent-elles mieux se préparer et ajuster leurs stratégies de sécurité pour pallier à de telles vulnérabilités ? La coopération entre les acteurs de la cybersécurité est plus cruciale que jamais pour anticiper et réagir efficacement aux menaces émergentes.
C’est vraiment inquiétant de voir autant de vulnérabilités dans des outils de sécurité. Les entreprises doivent absolument se tenir informées et protéger leurs systèmes pour éviter de fâcheuses surprises.