AccueilAlerts & Advisories

Vulnérabilité critique dans les produits VPN Ivanti (CVE-2025-22457)

Résumé

Le 3 avrilrd, Ivanti a publié un avis concernant une vulnérabilité critique de ses produits VPN et de contrôle d'accès au réseau Connect Secure, Policy Secure et ZTA Gateways. L'exploitation réussie de cette vulnérabilité permettrait à un acteur malveillant non authentifié de réaliser l'exécution de code à distance (RCE) sur un appareil cible. Cette famille de produits est, de par sa conception, déployée sur les réseaux des clients face à Internet, de sorte que cette vulnérabilité peut fournir aux acteurs de la menace un accès initial aux réseaux de l'entreprise.

Le bogue logiciel à l'origine de cette vulnérabilité a été identifié et corrigé par Ivanti en février et a été initialement classé comme un bogue de produit bénin. Cependant, à la mi-mars, la société de sécurité Mandiant a observé que la vulnérabilité avait été exploitée avec succès par un acteur de la menace pour prendre le contrôle d'un système Ivanti cible. Ils se sont probablement coordonnés avec Ivanti pour vérifier leurs conclusions, car leur analyse a été publiée le jour même de l'avis de sécurité d'Ivanti.

Étant donné que cette vulnérabilité est actuellement utilisée par des acteurs malveillants, Beazley Security recommande aux organisations concernées de mettre à jour leurs systèmes avec les versions actuellement disponibles dès que possible.

Systèmes et produits concernés

 Product

 Affected

 Unaffected
 Ivanti Connect Secure

 22.7R2.5 and prior

  22.7R2.6 (Released February  2025)
 Pulse Connect Secure (EoS)

 9.1R18.9 and prior

  22.7R2.6
 Ivanti Policy Secure

 22.7R1.3 and prior

  22.7R1.4
 ZTA Gateways

 22.8R2 and prior

  22.8R2.2

Atténuations et solutions de contournement

Cette vulnérabilité a été identifiée et corrigée en février. La principale recommandation d'Ivanti est donc de rester à jour sur les versions prises en charge.

Les clients d'Ivanti peuvent également réduire leurs risques liés aux vulnérabilités en général en suivant leur ensemble de recommandations spécifiques à leur produit Meilleures pratiques en matière de configuration de sécurité.

Patchs

Les mises à jour logicielles d'Ivanti sont disponibles et les clients peuvent utiliser le Centre de support client Ivanti pour trouver la version actuelle de leur produit.

Les clients ont également accès à Ivanti's Portail de réussite pour obtenir de l'aide.

Détails techniques

L'analyse détaillée de la vulnérabilité n'a pas été publiée et aucun échantillon public de preuve de concept (PoC) connu n'est disponible. Cependant, l'avis de Mandiant décrit certains des indicateurs des acteurs de la menace qu'ils ont observés. Cet acteur de la menace semble avoir une connaissance approfondie des environnements Ivanti, car les malwares TRAILBLAZE, BRUSHFIRE et SPAWN déployés comportent des composants spécialement conçus pour les appareils Ivanti. L'avis de Mandiant a révélé ici détaille les CIO spécifiques, mais en général, voici l'activité observée :

  • Dumps de base liés au processus Web
  • Certificats TLS clients anormaux présentés à l'appareil
  • Fichiers suspects écrits sur /tmp/ annuaire
  • Fichiers suspects écrits sur /poubelle/ et /lib/ annuaires

Ivanti fournit également un outil externe de vérification de l'intégrité (ICT) pour vérifier les configurations et les fichiers de leurs appareils pour détecter tout signe d'altération. Vous pouvez trouver plus d'informations sur cet outil ici.

Comment Beazley Security réagit

Beazley Security surveille les appareils périmétriques des clients via notre produit Karma afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.

Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.

Sources

Download PDF

Aware of an incident impacting your industry? Let us know:

Report an incident