Vulnérabilité critique dans Ivanti Connect Secure, Policy Secure et ZTA Gateway en cas d'exploitation active (CVE-2025-0282)
Résumé
Le 8 janvierth, l'éditeur de logiciels Ivanti a publié un avis détaillant une vulnérabilité critique (CVE-2025-0282) dans ses produits Connect Secure, Policy Secure et ZTA Gateway. L'exploitation réussie de cette vulnérabilité permettrait à un attaquant non authentifié de réaliser l'exécution de code à distance (RCE) sur un appareil vulnérable. Les appareils concernés sont généralement exposés à Internet dès leur conception. Par conséquent, une exploitation réussie de cette vulnérabilité donne aux acteurs de la menace un accès initial aux réseaux des organisations concernées et pourrait faciliter les activités d'attaque et les mouvements latéraux.
Ivanti a publié des correctifs pour Ivanti Connect Secure ainsi que leur avis, dont les détails sont disponibles ci-dessous. Ivanti a également indiqué qu'il était confirmé exploitation active de cette vulnérabilité par des groupes d'acteurs de la menace. Cette activité d'exploit a été observée sur le produit VPN Connect Secure ; aucune activité d'exploitation sur les produits Policy Secure ou ZTA Gateway n'a été signalée publiquement.
Au moment de la rédaction de cet article, il n'existe aucune preuve de code d'exploitation public de preuve de concept (PoC). Cependant, Beazley Security s'attend à ce que d'autres acteurs de la menace motivés financièrement étudient la vulnérabilité et corrigent pour développer des exploits supplémentaires dans les prochains jours.
Beazley Security recommande vivement les organisations immédiatement appliquez des correctifs aux produits Ivanti concernés et examinez les systèmes concernés pour détecter tout signe de compromission en utilisant l'outil de vérification de l'intégrité (ITC) d'Ivanti pour détecter les signes de modifications suspectes apportées aux appareils. En raison de la publication tardive des correctifs pour Policy Secure et ZTA Gateway, toute organisation utilisant ces produits doit restreindre l'accès aux fonctions critiques uniquement ou, si possible, les déconnecter d'Internet jusqu'à ce que les correctifs soient disponibles.
Systèmes et produits concernés
Cette vulnérabilité affecte Ivanti Connect Secure, Ivanti Policy Secure et Ivanti ZTA Gateway. Des correctifs officiels ont été publiés pour Ivanti Connect Secure et sont détaillés ci-dessous. Les correctifs pour Ivanti Policy Secure et la passerelle Ivanti ZTA devraient être publiés le 21 janviersaint selon Ivanti.
Atténuations et solutions de contournement
Il est recommandé d'installer les correctifs applicables pour Ivanti Connect Secure et d'exécuter l'outil Integrity Checker Tool (ICT) pour détecter toute compromission. Veuillez consulter la section Indicateurs de compromission (IoC) ci-dessous pour plus de détails.
Les correctifs pour Policy Secure ou ZTA Gateway ne seront pas disponibles avant le 21 janviersaint. Les organisations utilisant ces appliances doivent minimiser toute exposition à Internet dans la mesure du possible, jusqu'à ce que les correctifs des fournisseurs soient publiés.
Patchs
Les correctifs pour Ivanti Connect Secure sont disponibles sur le portail de téléchargement d'Ivanti : https://portal.ivanti.com/. Les correctifs pour les passerelles Ivanti Policy Secure et Ivanti ZTA devraient être publiés le 21 janviersaint.
Indicateurs de compromis (IOC)
Les activités de post-exploitation observées modifient les fichiers sur les systèmes Ivanti concernés. Ces modifications inattendues peuvent être détectées par l'outil Integrity Checker (ICT) d'Ivanti. Cet outil surveille les modifications et l'intégrité des fichiers au sein de l'appliance Ivanti Connect Secure.
Parmi les indicateurs de compromission observés, citons les modifications apportées au système de fichiers aux emplacements suivants :
- /tmp/s
- /home/webserver/htdocs/dana-na/auth/getComponent.cgi
- /home/webserver/htdocs/dana-na/auth/restAuth.cgi
- /root/home/lib/libsshd.so
- /root/home/lib/libsocks5.so
- /root/lib/libupgrade.so
- /tmp/.liblogblock.so
Les règles de Yara ont également été fournies au bas de L'article de Mandiant.
La recherche de menaces pour ces indicateurs peut être facilitée en exécutant l'outil TIC mentionné par Ivanti comme décrit ici. Beazley Security recommande vivement l'utilisation de cet outil, car il devrait être capable de détecter les modifications malveillantes du système qui peuvent ne pas être couvertes par les indicateurs mentionnés ci-dessus. Il est recommandé aux clients concernés de contactez l'assistance Ivanti pour signaler les incidents et obtenir une assistance supplémentaire en matière de réponse aux incidents.
Détails techniques
Un débordement de la mémoire tampon dans les passerelles Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Neurons for Zero Trust Access (ZTA) permet l'exécution de code à distance non authentifiée. Cette vulnérabilité nécessite une manipulation détaillée et précise de la mémoire de l'appareil, ce qui rend son exploitation complexe. Cependant, ce type de vulnérabilité a fait l'objet d'études approfondies et de nombreux groupes d'acteurs malveillants ont la capacité de développer ou d'obtenir des exploits à des fins militaires.
L'exploitation réussie a été signalée comme étant spécifique à la version, et Mandiant a indiqué avoir utilisé des méthodes de détection de version par des acteurs malveillants avant l'exploitation. Au moment de la rédaction de cet article, les produits Ivanti Connect Secure n'ont été exploités qu'avec succès.
Selon l'article de Mandiant, le script d'exploit a été observé en train d'effectuer les étapes suivantes :
- Désactive SELinux
- Empêchez le transfert Syslog en implémentant des blocs iptables
- Remontez le lecteur en lecture-écriture
- Mise en place de programmes malveillants en copiant un script shell dans le répertoire /tmp
- Exécution d'un binaire ELF base64 avec les privilèges root depuis /tmp/svb
- Déploiement d'un ou de plusieurs webshells dans les fichiers getComponent.cgi et restAuth.cgi
- Bloquer les futures mises à jour et mises à niveau
- Utilisez sed pour supprimer des entrées de journal spécifiques des journaux de débogage et d'application
- Réactiver SELinux
- Remontez le lecteur
Des informations détaillées sur ces étapes sont disponibles sur Article de blog de Mandiant.
L'activité de post-exploitation comprend le déploiement et l'utilisation de TAUPE PONDEUSE tunnelers, activant les capacités C2 des acteurs de la menace.
Comment Beazley Security réagit
Beazley Security surveille les appareils périmétriques des clients via notre produit Karma afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.
Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.
Sources
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283?language=en_US
- https://nvd.nist.gov/vuln/detail/CVE-2025-0282
- https://www.cisa.gov/news-events/alerts/2025/01/08/ivanti-releases-security-updates-connect-secure-policy-secure-and-zta-gateways
- https://forums.ivanti.com/s/article/KB44859?language=en_US
- https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day
Aware of an incident impacting your industry? Let us know: