CVE-2024-21893 : Vulnérabilité sur les endpoint Ivanti

Depuis début janvier 2024 Ivanti  est victime de vulnérabilités critiques sur ces équipements , le fournisseur de solutions de gestion des terminaux mobiles et d'endpoint Ivanti a identifié deux trous de sécurité supplémentaires. L'un d'entre eux identifié en tant que CVE-2024-21893 impacte déjà certains clients selon le groupe.

Les victimes sont réparties dans le monde entier et varient considérablement en taille, PMI/PME y compris plusieurs sociétés du 4.40 :

  • Départements gouvernementaux et militaires mondiaux
  • Entreprises nationales de télécommunications
  • Entreprise des secteursTechnologiques
  • Banque, Finance et Comptabilité Conseil 
  • Aérospatiale, aviation et ingénierie

Bulletin du CERT ici

Depuis Ivanti enchaine les correctifs de sécurité  

Après avoir corrigé deux failles zero day dans son outil de surveillance de terminaux Endpoint Manager Mobile (EPMM) en juillet dernier puis une vingtaine d'autres dans son EDM Avalanche (gestion des terminaux mobiles), et encore une autre le mois dernier affectant son EPM (Endpoint Manager) le fournisseur a encore lancé une alerte. 

Ces deux failles ont été référencées en tant que CVE-2024-21888 et CVE-2024-21893 et l'éditeur a fait savoir que si pour la première il n'y avait pas de preuve de clients touchés, ce n'est pas le cas pour la seconde : « Nous n'avons connaissance que d'un petit nombre de clients qui ont été affectés par CVE-2024-21893 à l'heure actuelle », explique Ivanti.

Cette dernière faille est de type de falsification de requête côté serveur dans le composant SAML de Connect Secure (9.x, 22.x) et de Policy Secure (9.x, 22.x) et de Neurons pour ZTA donnant la capacité à un attaquant d'accéder à certaines ressources restreintes sans authentification.

Concernant la première (CVE-2024-21888) l'éditeur a expliqué que c'est une vulnérabilité d'élévation de privilèges dans le composant web de Connect Secure (9.x, 22.x) et de Policy Secure (9.x, 22.x) donnant à un utilisateur la possibilité d'élever ses privilèges au niveau administrateur.

Que faire en cas de compromission ?

  1. Exécuter le scrips Integrity Check Tools publié par IVANTI sur tous les équipements composant la grappe cluster
  2. En cas de résultats non nuls aux étapes 8 et 9, l’équipement est compromis ;
  3. L'attaquant peut tenter de contourner les contrôles effectués par l'ICT, il est donc également nécessaire de rechercher dans les journaux toute trace des marqueurs publiés par les sources publiques. 

En cas de détection positives

Réaliser un gel de données (instantanés pour les Appliances virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.
L'éditeur a publié une nouvelle mesure de contournementmitigation.release.20240126.5.xml 
Celle-ci permet de se prémunir des vulnérabilités CVE-2024-21888 et CVE-2024-21893 ainsi que des vulnérabilités CVE-2023-46805 et CVE-2024-21887.

Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.Les organisations doivent immédiatement examiner les résultats de l'outil de contrôle d'intégrité intégré pour les entrées de journal indiquant des fichiers incompatibles ou nouveaux. 

Depuis la version 9.1R12, Ivanti a commencé à fournir un outil de vérification d'intégrité intégré qui peut être exécuté sous forme d'analyse périodique ou planifiée. 

La semaine dernière, Ivanti a également publié une version mise à jour de l'outil externe de vérification d'intégrité qui peut être utilisé davantage pour vérifier et vérifier les systèmes.