[AD-003] Actions immédiates pour se protéger contre les multiples vulnérabilités Zero Day dans les produits Ivanti

2024-02-02 12:48:35

Ivanti a signalé plusieurs vulnérabilités affectant les passerelles Ivanti Connect Secure (ICS), Ivanti Policy Secure et Ivanti Neurons for Zero Trust Access (ZTA). Il s’agit notamment de trois vulnérabilités Zero Day, de contournement d’authentification (CVE-2023-46805), d’injection de commandes (CVE-2024-21887) et de falsification de requêtes côté serveur (CVE-2024-21893). Certains rapports indiquent que les vulnérabilités sont activement exploitées par les acteurs malveillants.

Les vulnérabilités sont les suivantes :

• CVE-2023-46805 : Une vulnérabilité de contournement d’authentification dans le composant Web des versions vulnérables d’Ivanti Connect Secure et Ivanti Policy Secure peut permettre à un attaquant distant d’accéder à des ressources restreintes en contournant les contrôles de contrôle.

• CVE-2024-21887 : Une vulnérabilité d’injection de commandes dans les composants Web des versions vulnérables d’Ivanti Connect Secure et Ivanti Policy Secure peut permettre à un administrateur authentifié d’envoyer des requêtes spécialement conçues et d’exécuter des commandes arbitraires sur l’appliance.

• CVE-2024-21888 : Une vulnérabilité d’élévation de privilèges dans le composant Web d’Ivanti Connect Secure et Ivanti Policy peut permettre à un attaquant d’élever les privilèges au niveau de ceux d’un administrateur.

• CVE-2024-21893 : Une vulnérabilité de falsification de requête côté serveur dans le composant SAML (Security Assertion Markup Language) d’Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Neurons pour ZTA peut permettre à un attaquant non authentifié d’accéder à certaines ressources restreintes.

Lorsqu’elles sont enchaînées, les vulnérabilités Zero Day permettent aux attaquants de se déplacer latéralement au sein du réseau d’une cible, d’exfiltrer des données et d’établir un accès persistant au système en déployant des portes dérobées.

Les produits suivants sont concernés par les vulnérabilités :

• Ivanti Connect Secure versions 9.x et 22.x

• Ivanti Policy Secure versions 9.x et 22.x

Actions de confinement

Il est conseillé aux organisations exécutant des systèmes concernés d’effectuer immédiatement les actions de confinement et d’enquête suivantes :

• Déconnectez et isolez autant que possible les appareils concernés des réseaux et de toutes les ressources de l’entreprise.

• Exécutez le Outil de vérification de l’intégrité externe (TIC) pour identifier les signes potentiels de compromission. Ivanti recommande d’exécuter l’ICT externe car des acteurs malveillants ont tenté d’échapper à la détection en manipulant l’ICT interne (intégré) d’Ivanti.

• Fournissez les résultats au support Ivanti pour un examen plus approfondi. Ivanti décidera si l’appliance est compromise et recommandera les étapes suivantes. Ivanti peut également fournir une assistance pour le décryptage et la capture d’une image médico-légale/mémoire à partir des appliances concernées.

• Effectuez un examen médico-légal des images capturées pour identifier des signes supplémentaires de compromission ou d’activités malveillantes.

• Examinez les journaux disponibles à partir du ou des appareils, notamment :

• Journaux des appareils VPN : garantit que les journaux VPN peuvent être consultés sur le Web ou exportés pour une analyse hors ligne. Ceci est accessible via Système > Journal/Surveillance à partir de l’interface d’administration.

• Journalisation des demandes non authentifiées : garantit que les demandes Web non authentifiées adressées au(x) dispositif(s) Connect Secure VPN sont enregistrées dans les journaux des utilisateurs. Cela peut être configuré via Système > Journal/Surveillance > Accès utilisateur > Sélectionner les événements à enregistrer.

• Transfert Syslog : garantit que les journaux de l’appliance sont disponibles hors ligne à partir des appareils et ne peuvent pas être modifiés. Il est recommandé que les types de journaux suivants soient configuré pour le transfert SYSLOG :

Mesures correctives

Il est conseillé aux organisations exécutant des systèmes concernés de prendre les mesures correctives suivantes avant de les mettre en production :

• Conservez une image médico-légale du ou des appareils concernés à des fins d’analyse médico-légale et d’enquête.

• Sauvegardez et exportez les paramètres de configuration du ou des appareils concernés.

• Lors de la mise à niveau, les fichiers exploités ou ajoutés sur l’appareil ne seront pas conservés pendant la mise à niveau.

• Les futures restaurations rendraient une organisation vulnérable en cas de restauration vers la version compromise. Deux mises à niveau suppriment la version compromise, car une seule version de restauration est stockée sur l’appliance.

• Téléchargez et appliquez le patch officiel immédiatement.

• Si une atténuation précédente (fichier XML) a été appliquée avant le correctif, elle peut être supprimée une fois le correctif appliqué. Le processus XML de suppression d’atténuation peut être trouvé sur le portail de téléchargement.

• Si un correctif n’est pas encore disponible pour une appliance vulnérable,

• Appliquez le correctif d’atténuation (via l’importation du fichier mitigation.release.20240126.5.xml) une fois la mise à niveau terminée. Notez que l’application du fichier XML peut avoir un impact sur les fonctionnalités et les caractéristiques d’une appliance, y compris l’authentification SAML.

• Arrêtez la transmission des configurations vers les appliances une fois le fichier XML en place et ne reprenez pas la transmission des configurations tant que des correctifs formels n’ont pas été publiés par Ivanti. Cela inclut toutes les configurations poussées à l’aide de Pulse One et/ou nSA. Le transfert de configurations vers une appliance arrêtera le fonctionnement de l’atténuation à court terme.

• Restaurez la configuration de l’appareil.

• Révoquez ou faites pivoter tous les secrets spécifiques à l’appareil stockés sur les appareils avant toute compromission.

• Révoquez et réémettez tous les certificats, clés et mots de passe connectés ou exposés.

• Réinitialisez le mot de passe d’activation de l’administrateur.

• Réinitialisez toutes les clés d’interface de programmation d’application (API) stockées.

• Réinitialisez le mot de passe de tout utilisateur local défini sur la passerelle, y compris les comptes de service utilisés pour les configurations d’authentification intégrées tierces.

• Si des voleurs d’identifiants sont identifiés sur une appliance, réinitialisez les mots de passe de tous les utilisateurs qui se sont authentifiés sur l’appliance(s) pendant la période pendant laquelle le logiciel malveillant était actif.

Mesures de durcissement

En plus de s’aligner sur meilleures pratiques de configuration de sécuritéles organisations peuvent envisager d’appliquer les recommandations suivantes pour renforcer davantage leurs systèmes :

• Restreindre les communications de sortie à partir du ou des appareils CS VPN. Cela peut atténuer l’impact des communications de commande et de contrôle (C2) provenant de toutes les portes dérobées présentes sur une appliance.

• Désactivez l’accès administratif aux appliances CS VPN à partir du port externe (accessible à Internet). Administrateur > Domaines d’administration > Sélectionnez Domaine > Politique d’authentification > IP source > Assurez-vous que « Autoriser les administrateurs à se connecter sur le port externe » n’est pas activé.

• Réduisez la portée des chemins de connectivité internes qui pourraient être exploités pour les mouvements latéraux à partir de l’interface de gestion des appliances CS VPN.

• Si le ou les appareils sont configurés avec une topologie à un bras, les mesures de durcissement suivantes doivent être envisagées :

• Activez les restrictions basées sur l’adresse IP source pour le domaine administrateur. Administrateurs > Domaines d’administration > Utilisateurs administrateurs > Politique d’authentification > IP source

• Activez MFA pour l’URL de connexion de l’administrateur.

• Configurez le port de gestion pour permettre aux administrateurs de se connecter et désactiver les administrateurs pour se connecter sur le port interne. Administrateurs > Domaines d’administration > Utilisateurs administrateurs > Politique d’authentification > Ports de connexion de l’administrateur

• Désactivez l’itinérance de session, ce qui peut atténuer l’impact d’un cookie de session volé réutilisé par une adresse IP différente qui ne correspond pas à l’utilisateur initial qui s’est connecté.

• Utilisateurs : Utilisateurs > Rôles utilisateur > > Général > Options de session : Session itinérante, sélectionnez « Désactivé »

• Administrateurs : Administrateurs > Rôles d’administrateur >> Général > Options de session : Session itinérante, sélectionnez « Désactivé »

• Appliquez des limites de durée de vie de session pour réduire le risque qu’une session volée soit continuellement réutilisée par un attaquant.

• Utilisateurs : Utilisateurs > Rôles utilisateur >> Général > Options de session : durées de vie des sessions

• Administrateurs : Administrateurs > Rôles d’administrateur > Général > Options de session : Durées de vie des sessions

• Ne laissez pas les sessions persistantes réduire le risque qu’une session volée soit continuellement réutilisée par un attaquant.

• Utilisateurs : Utilisateurs > Rôles utilisateur >> Général > Options de session : Session persistante, sélectionnez « Désactivé »

• Administrateurs : Administrateurs > Rôles d’administrateur >> Général > Options de session : Session persistante, sélectionnez “Désactivé”

• Activez « Supprimer les cookies de session du navigateur » pour réduire le risque de vol des cookies de session du navigateur.

• Utilisateurs : Utilisateurs > Rôles utilisateur >> Général > Options de session : Supprimer le cookie de session du navigateur, sélectionnez “Activé”.

• Administrateurs : Administrateurs > Rôles d’administrateur >> Général > Options de session : Supprimer le cookie de session du navigateur, sélectionnez “Activé”.

• Activez « Cookie de périphérique HTTP uniquement » pour réduire le risque de vol de cookies.

• Utilisateurs : Utilisateurs > Rôles utilisateur >> Général > Options de session : Cookie de périphérique HTTP uniquement, sélectionnez “Activé”.

• Administrateurs : Administrateurs > Rôles d’administrateur >> Général > Options de session : Cookie de périphérique HTTP uniquement, sélectionnez “Activé”.

IOC hôtes et réseau

Les indicateurs de compromission (IOC) possibles sur l’hôte et le réseau associés à la campagne active sont présentés dans les tableaux ci-dessous. Il est conseillé aux administrateurs réseau de configurer leurs règles de pare-feu pour bloquer les connexions aux IOC réseau suivants associés à la campagne tout en examinant toutes les connexions antérieures et en recherchant la présence des IOC basés sur l’hôte dans leurs systèmes.

Indicateurs basés sur le réseau

Indicateur de réseau Type Description symantke[.]com Domaine WARPWIRE C2 serveur Symantke[.]com miltonhouse[.]nl Domaine WARPWIRE variante C2 serveur miltonhouse[.]nl entraide-internationale[.]fr Domain WARPWIRE variant C2 server entraide-internationale[.]fr api.dns[.]nom Domaine WARPWIRE variante C2 serveur api.dns[.]nom cpanel.netbar[.]org Domaine WARPWIRE variante serveur C2 cpanel.netbar[.]org clickcom[.]cliquez sur Domaine WARPWIRE variante C2 serveur clickcom[.]cliquez cliquez sur[.]cliquez sur Domaine WARPWIRE variante C2 serveur clicko[.]cliquez sur duorythme[.]amusant Domai​​n WARPWIRE variante C2 duorhytm du serveur[.]API de ligne amusante[.]com Domaine WARPWIRE variante C2 serveur line-api[.]avec areekaweb[.]com Domaine WARPWIRE variante serveur C2 areekaweb[.]avec ehangmun[.]com Domaine WARPWIRE variante serveur C2 ehangmun[.]avec lit sécurisé[.]com Domaine WARPWIRE variante C2 serveur secure-cama[.]avec 146.0.228[.]66 IPv4 WARPWIRE variante serveur C2 146.0.228[.]66 159.65.130[.]146 IPv4 WARPWIRE variante serveur C2 159.65.130[.]146 8.137.112[.]245 IPv4 WARPWIRE variante serveur C2 8.137.112[.]245 91.92.254[.]14 Serveur IPv4 WARPWIRE variante C2 91.92.254[.]14 186.179.39[.]235 Activité d’exploitation de masse IPv4 186.179.39[.]235 50.215.39[.]49 IPv4 Activité post-exploitation 50.215.39[.]49 45.61.136[.]14 IPv4 Activité post-exploitation 45.61.136[.]14

Indicateurs basés sur l’hôte

Nom du fichier MD5 Description santé[.]py 3045f5b3d355a9ab26ab6f44cc831a83 Shell Web CHAINLINE compcheckresult.cgi 3d97f55a03ceb4f71671aa2ecf5b24e9 Shell Web LIGHTWIRE lastauthserverused.js 2ec505088b942c234f39a37188e80d7a WARPW Variante de moissonneuse d’informations d’identification IRE lastauthserverused.js 8eb042da6ba683ef1bae460af103cc44 Variante de moissonneuse d’informations d’identification WARPWIRE lastauthserverused.js a739bd4c2b9f3679f43579711448786f ​​Variante de moissonneuse d’informations d’identification WARPWIRE lastauthserverused.js a81813f70151a022 ea1065b7f4d6b5ab Variante de récolte d’informations d’identification WARPWIRE lastauthserverused.js d0c7a334a4d9dcd3c6335ae13bee59ea Informations d’identification WARPWIRE moissonneuse lastauthserverused.js e8489983d73ed30a4240a14b1f161254 Catégorie de variante de moissonneuse d’informations d’identification WARPWIRE[.]py 465600cece80861497e8c1c86a07a23e FRAMESTING web shell logo.gif N/A — varie Configuration et vidage du cache ou exfiltration du journal du serveur Web CAV login.gif N/A — varie Configuration et vidage du cache [a-fA-F0-9]{10}.css N/A – varie Visites de configuration et de vidage du cache[.]py N/A — varie le shell Web WIREFIRE

Signaler un compromis

Les organisations de Singapour touchées par ces vulnérabilités doivent signaler à SingCERT toute preuve de compromission. Un rapport peut être effectué via notre formulaire de rapport d’incident à l’adresse https://go.gov.sg/singcert-incident-reporting-form.

Plus d’informations sont disponibles ici:

#AD003 #Actions #immédiates #pour #protéger #contre #les #multiples #vulnérabilités #Day #dans #les #produits #Ivanti
1706934184