Depuis début janvier 2024 Ivanti est victime de vulnérabilités critiques sur ces équipements , le fournisseur de solutions de gestion des terminaux mobiles et d'endpoint Ivanti a identifié deux trous de sécurité supplémentaires. L'un d'entre eux identifié en tant que CVE-2024-21893 impacte déjà certains clients selon le groupe.
Les victimes sont réparties dans le monde entier et varient considérablement en taille, PMI/PME y compris plusieurs sociétés du 4.40 :
Bulletin du CERT ici
Depuis Ivanti enchaine les correctifs de sécurité
Après avoir corrigé deux failles zero day dans son outil de surveillance de terminaux Endpoint Manager Mobile (EPMM) en juillet dernier puis une vingtaine d'autres dans son EDM Avalanche (gestion des terminaux mobiles), et encore une autre le mois dernier affectant son EPM (Endpoint Manager) le fournisseur a encore lancé une alerte.
Ces deux failles ont été référencées en tant que CVE-2024-21888 et CVE-2024-21893 et l'éditeur a fait savoir que si pour la première il n'y avait pas de preuve de clients touchés, ce n'est pas le cas pour la seconde : « Nous n'avons connaissance que d'un petit nombre de clients qui ont été affectés par CVE-2024-21893 à l'heure actuelle », explique Ivanti.
Cette dernière faille est de type de falsification de requête côté serveur dans le composant SAML de Connect Secure (9.x, 22.x) et de Policy Secure (9.x, 22.x) et de Neurons pour ZTA donnant la capacité à un attaquant d'accéder à certaines ressources restreintes sans authentification.
Concernant la première (CVE-2024-21888) l'éditeur a expliqué que c'est une vulnérabilité d'élévation de privilèges dans le composant web de Connect Secure (9.x, 22.x) et de Policy Secure (9.x, 22.x) donnant à un utilisateur la possibilité d'élever ses privilèges au niveau administrateur.
Que faire en cas de compromission ?
En cas de détection positives
Réaliser un gel de données (instantanés pour les Appliances virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique). Une fois le gel des données effectué ou en cas d’impossibilité de maintenir un isolement des équipements physiques, procéder aux mesures de contournements et recommandations mentionnées dans la section suivante.
L'éditeur a publié une nouvelle mesure de contournementmitigation.release.20240126.5.xml
Celle-ci permet de se prémunir des vulnérabilités CVE-2024-21888 et CVE-2024-21893 ainsi que des vulnérabilités CVE-2023-46805 et CVE-2024-21887.
Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.Les organisations doivent immédiatement examiner les résultats de l'outil de contrôle d'intégrité intégré pour les entrées de journal indiquant des fichiers incompatibles ou nouveaux.
Depuis la version 9.1R12, Ivanti a commencé à fournir un outil de vérification d'intégrité intégré qui peut être exécuté sous forme d'analyse périodique ou planifiée.
La semaine dernière, Ivanti a également publié une version mise à jour de l'outil externe de vérification d'intégrité qui peut être utilisé davantage pour vérifier et vérifier les systèmes.