Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à la Cybersecurity and Infrastructure Security Agency (CISA) et aux partenaires internationaux suivants pour publier un bulletin de cybersécurité visant à mettre en lumière les multiples vulnérabilités touchant les passerelles d’Ivanti Connect Secure et d’Ivanti Policy Secure :
- le Federal Bureau of Investigation (FBI);
- le Multi-State Information Sharing and Analysis Center (MC-ISAC);
- l'Australian Cyber Security Centre (ACSC) de l'Australian Signals Directorate (ADS);
- le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
- la Computer Emergency Response Team de la Nouvelle-Zélande (CERT NZ);
- le National Cyber Security Centre du Royaume-Uni (NCSC-UK).
Les vulnérabilités mentionnées dans le présent bulletin de cybersécurité conjoint touchent toutes les versions prises en charge (9.x et 22.x). Les auteures et auteurs de menace peuvent tirer avantage de ces vulnérabilités dans une chaîne d’exploits afin de contourner les mécanismes d’authentification, de transmettre des requêtes malveillantes et d’exécuter des commandes aléatoires avec des privilèges élevés. Ces exploits initiaux peuvent servir à infliger de plus amples dommages, y compris, sans s’y limiter, donner lieu à une exfiltration de données et au vol de justificatifs d’identité.
Le présent bulletin conjoint fait mention des tactiques, techniques et procédures (TTP) observées, ainsi que des indicateurs de compromission. Les organisations devraient envisager la possibilité que des auteures et auteurs de menace arrivent à accéder à ces passerelles d’Ivanti et à s’y implanter en permanence avant de décider si elles doivent ou non continuer d’utiliser ces dispositifs dans leur environnement d’entreprise. Les justificatifs d’identité et les données sensibles stockés dans les appliances de réseaux privés virtuels (RPV) d’Ivanti devraient être considérés comme ayant été compromis.
On encourage les responsables de la défense des réseaux à consacrer des efforts à la détection des activités malveillantes sur leurs réseaux au moyen des méthodes de détection et des indicateurs de compromission indiqués dans le présent bulletin conjoint.
Le Centre pour la cybersécurité recommande aux organismes de mettre en place les recommandations mentionnées dans la présente.
Les organisations canadiennes qui relèvent une compromission potentielle sont invitées à le signaler par l’entremise de Mon cyberportail ou par courriel à l’adresse contact@cyber.gc.ca.
Consultez le bulletin de cybersécurité conjoint :
Références supplémentaires
- Journalisation et surveillance de la sécurité de réseau - ITSAP.80.085
- Vérification de la sécurité des réseaux - ITSAP.80.086
- Application des mises à jour sur les dispositifs - ITSAP.10.096
- Les 10 mesures de sécurité des TI : No 2 - Appliquer des correctifs aux applications et aux systèmes d’exploitation (ITSM.10.096