La cybersécurité reste la ligne de défense essentielle contre les cyberattaques. Aujourd’hui, la sonnette d’alarme retentit avec force suite à la découverte de failles critiques dans les solutions VPN d’Ivanti, une entreprise américaine spécialisée dans la fourniture de logiciels professionnels. D’après les experts en sécurité informatique de Volexity, ces vulnérabilités, exploitées activement à ce jour, touchent plus de 4.300 appareils à travers le globe, y compris des centaines en France. Ces révélations ont mis en lumière l’ampleur des risques auxquels sont exposées les organisations de tous secteurs et tailles.
Identification des vulnérabilités
Ivanti a récemment confirmé deux vulnérabilités zero-day critiques au sein de son portefeuille de produits : les solutions VPN Connect Secure et Policy Secure. Ces vulnérabilités, cataloguées sous les indices CVE-2023-46805 et CVE-2024-21887, ont été identifiées et signalées publiquement le 10 janvier dernier. La première, une faille de contournement de l’authentification, a été évaluée avec un score de gravité de 8,2 sur 10. La seconde, une vulnérabilité d’injection de commande particulièrement préoccupante, a atteint un score de 9,1 sur 10.
L’exploitation de ces failles est d’autant plus alarmante qu’elle ne requiert aucune forme d’authentification préalable. Les attaquants peuvent ainsi formuler des requêtes malveillantes et exécuter des commandes arbitraires sur le système affecté. Face à cette situation, Ivanti a pressé ses utilisateurs d’appliquer des mesures d’atténuation pour se prémunir contre les accès aux points d’extrémité vulnérables et a recommandé l’utilisation de son outil de vérification d’intégrité.
Menace active et répartition géographique
Selon les informations recueillies, les attaques sont principalement menées par un acteur baptisé UTA0178, présumé opérer pour le compte du gouvernement chinois. Un autre groupe, UTA0188, est également suspecté de tentatives d’exploitation de ces vulnérabilités. La majorité des victimes seraient infectées par une version modifiée du webshell ‘GIFTEDVISITOR’, un outil malveillant utilisé pour prendre le contrôle de systèmes infectés.
Les données récentes de ShadowServer indiquent que la plus grande concentration d’appareils ICS toujours vulnérables à ces failles se trouve aux États-Unis, avec approximativement 1.500 appareils concernés, suivis par le Japon, la Chine, Taïwan et la Corée du Sud. L’Europe n’est pas épargnée, l’Allemagne étant le pays le plus touché du continent avec 385 appareils, suivie de près par la France avec 279 appareils et le Royaume-Uni.
Actions recommandées par Ivanti
Face à la menace imminente et la complexité des attaques, Ivanti a mis en avant plusieurs actions à entreprendre pour contrer les risques associés aux failles découvertes. Le fournisseur a émis le conseil urgent de bloquer l’accès aux points d’extrémité vulnérables et de lancer l’outil de vérification d’intégrité proposé par Ivanti. Il est essentiel pour les administrateurs système de rester vigilants et de surveiller toute activité suspecte sur les réseaux concernés.
Les premiers correctifs pour ces vulnérabilités ne seront mis à disposition des utilisateurs qu’à partir du 22 janvier, laissant ainsi une fenêtre de vulnérabilité assez large pour les attaquants. D’autres mises à jour sont prévues pour le courant du mois de février, exigeant une attention soutenue de la part des équipes techniques pour appliquer rapidement ces correctifs dès leur disponibilité.
Implications pour les entreprises
Les répercussions de ces failles de sécurité ne se limitent pas à un simple risque de compromission de données. Les organisations affectées pourraient faire face à des perturbations opérationnelles majeures et des atteintes à leur réputation. De plus, la possibilité accrue de campagnes de ransomware découlant de l’exploitation de ces vulnérabilités représente un danger supplémentaire pour les entreprises touchées.
L’alerte lancée par Volexity et la confirmation d’Ivanti sur l’existence de ces vulnérabilités zero-day dans leurs solutions VPN mettent en évidence l’importance capitale de la cybersécurité et de la réactivité face aux menaces informatiques. Dans ce contexte, les organisations doivent s’armer de patience et de rigueur, en attendant les mises à jour salvatrices, tout en appliquant les meilleures pratiques de sécurité pour se prémunir contre ces attaques potentielles.