Numéro : AL24-001
Date : 31 janvier 2024
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 10 janvier 2024, le Centre pour la cybersécurité a informé d’une vulnérabilité liée au contournement de l’authentification (CVE-2023-46805) et d’une vulnérabilité liée à l’injection de commandes (CVE-2024-21887) touchant les passerelles d’Ivanti Connect Secure (ICS), anciennement Pulse Connect Secure, et d’Ivanti Policy Secure (IPS). Ivanti a publié un bulletin de sécurité faisant état de ces vulnérabilitésNote de bas de page1. Ces dernières touchent toutes les versions documentées du logiciel, soit les versions 9.x et 22.x. Le Centre pour la cybersécurité a publié un bulletin de sécurité faisant mention de ces vulnérabilités le 10 janvier 2024Note de bas de page2.
Le 10 janvier, Ivanti a indiqué que des correctifs étaient en cours de développement actif, mais qu’ils n’étaient pas encore prêts à être distribués. L’entreprise a publié des mesures d’atténuation visant à corriger ces vulnérabilités. Ivanti suggère également de surveiller l’article de sa Base de connaissances pour des mises à jour sur la disponibilité des correctifs associés aux versions documentées d’Ivanti Connect Secure (ICS) et d’Ivanti Policy Secure (IPS), à mesure qu’ils sont rendus accessiblesNote de bas de page3.
Ivanti a indiqué qu’elle était au courant de l’exploitation et qu’elle avait constaté que des auteures et auteurs de menace avaient tenté de manipuler son outil interne de vérification de somme de contrôle (ICT pour Integrity Checker Tool), lequel est utilisé pour vérifier l’intégrité des systèmes de fichiers.
Volexity a publié un rapport comportant un résumé de l’incident et des indicateurs de compromission pour l’activité associée à ces vulnérabilitésNote de bas de page4.
Mise à jour 1
Le 15 janvier 2024, Volexity a publié un rapport indiquant qu’une exploitation généralisée a été détectéeNote de bas de page5.
Le Centre pour la cybersécurité est informé qu’une preuve de concept est disponible sous forme de logiciels libre.
Le 16 janvier 2024, Ivanti a publié de nouveaux conseils relié à la reprise après l’exploitation de ces vulnérabilités Note de bas de page6.
Les organisations qui ont un accès externe continu à distance aux services vulnérables devraient tenir pour acquis que les dispositifs ont été entièrement compromis.
Mise à jour 2
Le 31 janvier 2024, Ivanti a mis à jour son bulletin de sécurité pour annoncer qu’elle avait publié des correctifs aux vulnérabilités liées au contournement de l’authentification (CVE-2023-46805) et à l’injection de commandes (CVE-2024-21887) touchant les passerelles d’Ivanti Connect Secure (ICS) et d’Ivanti Policy Secure (IPS) Note de bas de page 1.
Ivanti a également révélé deux vulnérabilités additionnelles touchant ses produits Connect Secure, Policy Secure et Neurons for ZTA Note de bas de page 8. Une élévation des privilèges (CVE-2024-21888) peut mener à la falsification de requête côté serveur (CVE-2024-21893) dans le composant SAML, ce qui permet à une auteure ou à un auteur de menace d’accéder à certaines ressources restreintes sans authentification. Des correctifs visant ces nouvelles vulnérabilités sont inclus dans les correctifs publiés récemment ainsi que de nouveaux conseils d’atténuation relatifs aux versions prises en charge pour lesquelles aucun correctif n’a été fourniNote de bas de page 3. Le Centre pour la cybersécurité a publié un bulletin de sécurité faisant état de ces vulnérabilités additionnellesNote de bas de page 9.
Le 31 janvier 2024, Mandiant a publié un blogue décrivant les tactiques, techniques et procédures (TTP) additionnelles, les activités post-exploitation ainsi que les indicateurs de compromission et signatures visant à faciliter la détection de compromissionte de bas de page 10.
Mesures recommandées
Le Centre pour la cybersécurité recommande fortement de prendre les mesures suivantes :
- Les organisations qui utilisent les passerelles d’Ivanti Connect Secure (ICS) et d’Ivanti Policy Secure (IPS) devraient passer en revue l’article de la Base de connaissances d’Ivanti pour des mesures d’atténuation et de l’information sur l’application de correctifs;
- Les organisations devraient consulter et mettre en œuvre les 10 mesures de sécurité des TI Note de bas de page7 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :
- l’intégration, la surveillance et la défense des passerelles Internet;
- l’application de correctifs aux applications et aux systèmes d’exploitation;
- la segmentation et la séparation de l’information;
- la protection de l’information au niveau de l’organisme;
- L’ICT constitue un instantané de l’état actuel de l’appliance; il ne permet pas nécessairement de détecter une activité malveillante si l’auteure ou l’auteur de menace a ramené l’appliance à son état normal. L’ICT n’analyse pas les systèmes pour détecter des maliciels ou d’autres indicateurs de compromission. Ivanti recommande que les clients prennent la bonne habitude de toujours combiner l’exécution de l’ICT avec une surveillance continue. Pour éviter qu’une activité malveillante donne lieu à la manipulation des résultats de l’ICT interne, Ivanti recommande à tous les clients de plutôt exécuter l’ICT externe.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.
Rapports de Partenaires
CISA - Ivanti Releases Security Update for Connect Secure and Policy Secure Gateways (en anglais)
CERTNZ - Vulnerabilities in Ivanti Connect gateways actively exploited (en anglais)
NCSC-NZ - Cyber Security Alert: CVEs affecting Ivanti Connect Secure (en anglais)