Technologie
Ivanti a résolu une vulnérabilité de gravité maximale dans son logiciel de gestion des points de terminaison (EPM), permettant à des attaquants non authentifiés d’exécuter du code à distance sur le serveur principal.
Le logiciel Ivanti EPM permet aux administrateurs de gérer des appareils clients fonctionnant sur diverses plateformes, telles que Windows, macOS, Chrome OS et les systèmes d’exploitation IoT.
La faille de sécurité (CVE-2024-29847) est due à une faiblesse de désérialisation de données non fiables dans le portail de l’agent, qui a été corrigée dans les mises à jour de sécurité d’Ivanti EPM 2024 et dans la mise à jour de service 6 (SU6) d’Ivanti EPM 2022.
« Une exploitation réussie pourrait entraîner un accès non autorisé au serveur principal d’EPM », a déclaré l’entreprise dans un avis publié aujourd’hui.
Actuellement, Ivanti a précisé qu’elle « n’a pas connaissance de clients ayant été exploités par ces vulnérabilités au moment de la divulgation. À ce jour, aucune exploitation publique connue de cette vulnérabilité n’a été signalée, ce qui pourrait fournir une liste d’indicateurs de compromission. »
Aujourd’hui, l’entreprise a également corrigé près de deux douzaines d’autres failles de sécurité de gravité élevée et critique dans Ivanti EPM, Workspace Control (IWC) et Cloud Service Appliance (CSA), qui n’avaient pas été exploitées avant leur correction.
En janvier, la société avait déjà corrigé une vulnérabilité similaire d’exécution de code à distance (CVE-2023-39336) dans Ivanti EPM, qui pouvait être exploitée pour accéder au serveur principal ou détourner des appareils enregistrés.
Augmentation des vulnérabilités corrigées grâce aux améliorations de sécurité
Ivanti a indiqué avoir intensifié ses capacités de scan interne, d’exploitation manuelle et de tests ces derniers mois, tout en travaillant à l’amélioration de son processus de divulgation responsable pour traiter les problèmes potentiels plus rapidement.
« Cela a entraîné une augmentation des découvertes et des divulgations, et nous partageons l’avis de la CISA selon lequel la découverte et la divulgation responsables des CVE sont ‘un signe d’une communauté d’analyse et de test de code saine’ », a déclaré Ivanti.
Cette déclaration fait suite à l’exploitation extensive de plusieurs vulnérabilités zero-day d’Ivanti ces dernières années. Par exemple, les appareils VPN d’Ivanti ont été ciblés depuis décembre 2023, utilisant des exploits combinant les failles d’injection de commande CVE-2024-21887 et de contournement d’authentification CVE-2023-46805.
L’entreprise a également averti d’une troisième vulnérabilité zero-day (un bug de falsification de requête côté serveur, désormais suivi sous le nom de CVE-2024-21893) faisant l’objet d’une exploitation massive en février, permettant aux attaquants de contourner l’authentification sur des passerelles ICS, IPS et ZTA vulnérables.
Ivanti affirme avoir plus de 7 000 partenaires à l’échelle mondiale, et plus de 40 000 entreprises utilisent ses produits pour gérer leurs actifs et systèmes informatiques.
