Ivanti, une entreprise spécialisée dans les solutions de gestion informatique et de cybersécurité, indique avoir découvert deux failles au sein de ses services de VPN. La première vulnérabilité « permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance », met en garde le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France, qui relaie l’alerte d’Ivanti.
Selon la société basée dans l’Utah, cette brèche est une erreur critique de débordement de mémoire tampon, une vulnérabilité qui survient lorsqu’un programme écrit plus de données dans un espace mémoire que ce dernier n’est conçu pour en contenir. Elle est considérée comme critique.
À lire aussi : Un bug Android menace la vie privée des utilisateurs de VPN
Un trio de virus à l’assaut
De l’aveu d’Ivanti, la brèche a été exploitée par des cybercriminels afin de propager des logiciels malveillants. Néanmoins, le nombre de victimes reste limité, rassure Ivanti. Selon les investigations des chercheurs de Mandiant, une filiale de Google, la vulnérabilité a permis de propager un trio de virus, à savoir Spawn, Dryhook et Phasejam, depuis la mi-décembre.
Pour le moment, Mandiant est incapable de relier l’exploitation à un gang de pirates en particulier. Les soupçons se portent néanmoins sur deux groupes de cyberespionnage financés par la Chine. Mandiant souligne qu’ « il est possible que plusieurs acteurs soient responsables de la création et du déploiement » des différentes familles de virus.
« Les attaquants installent des portes dérobées (“backdoor”) pour maintenir l’accès aux systèmes compromis. Certaines de ces portes peuvent persister malgré les mises à jour système, c’est pourquoi Ivanti recommande aux clients concernés d’effectuer une réinitialisation », explique Mandiant dans un communiqué adressé à 01Net.
À lire aussi : Une fuite de données « cauchemardesque » – la localisation de millions de smartphones a été compromise
Du vol de données
L’objectif des pirates semble de voler des bases de données stockées sur l’appareil, contenant souvent des informations sensibles comme les sessions VPN, les cookies de session, les clés API, les certificats ou d’autres données d’identification. Les noms d’utilisateur et les mots de passe sont d’ailleurs interceptés et exfiltrés pendant les processus d’authentification.
Dans la foulée, Ivanti explique avoir débusqué une seconde vulnérabilité de corruption de la mémoire dans ses outils VPN. De gravité élevée, elle requiert une authentification pour être utilisée et permet uniquement une élévation des privilèges.
Ivanti souligne avoir déployé un correctif pour combler les deux vulnérabilités. Pour le correctif destiné aux passerelles Policy Secure et Neurons for ZTA (Zero Trust Access), il faudra cependant attendre le 21 janvier 2025. Ce n’est pas la première faille identifiée dans les produits Connect Secure d’Ivanti. Il y a quelques mois, la Cybersecurity and Infrastructure Security Agency (CISA) a d’ailleurs été piratée par le biais de vulnérabilités dans les produits conçus par Ivanti. L’agence avait négligé de mettre à jour deux systèmes avec les correctifs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Ivanti
