CVE-2023-46805 / CVE-2024-21887 Ivanti

Versions concernées


Ivanti Connect Secure (ICS) et Ivanti Policy Secure, versions 9.x et 22.x.

Inclus également les passerelles Ivanti Neurons pour ZTA non connectées.

TL ; DR


Tldr Cve 2023 46805 Cve 2024 21887 Ivanti

 

 

 

 

 

Informations


Détails 

Le 10 janvier 2024, Ivanti a alerté sur deux vulnérabilités affectant Ivanti Connect Secure et Ivanti Policy Secure Gateways, touchant toutes les versions supportées. Ces failles étaient activement exploitées au moment de l’annonce, ce qui a conduit le CISA à publier une alerte et à inclure ces vulnérabilités dans son catalogue des vulnérabilités exploitées connues (KEV). 

La CVE-2023-46805, notée 8.2 sur l’échelle CVSS, permet un contournement d’authentification dans les composants web, donnant accès à des ressources restreintes à un attaquant distant.  

La CVE-2024-21887, avec un score CVSS de 9.1, est une vulnérabilité d’injection de commande qui autorise un administrateur authentifié à exécuter des commandes arbitraires.  

L’exploitation conjointe de ces vulnérabilités permet donc à un acteur malveillant d’exécuter des commandes arbitraires sur le système ciblé, sans nécessité d’une authentification préalable. 

 

Détection 

Jusqu’à présent, les détails spécifiques des vulnérabilités CVE-2023-46805 et CVE-2024-21887 n’ont pas été publiés, ce qui signifie qu’il n’existe pas de règles de détection spécifiques à ces vulnérabilités.  

Néanmoins, certaines analyses post-incident ont révélé des éléments qui permettent une détection après compromission. 

Parmi les activités détectées, le recours à des services de géolocalisation IP pour lesquels il existe différentes règles de détection. 

De plus, l’utilisation de diverses variantes de webshell, comme ReGeorg, a été constatée. Ce webshell spécifique est connu pour disposer d’un ensemble de règles de détection bien établies. 

Aussi, des requêtes à destination de sites externes via l’outil curl ont également été constatées, ce comportement étant également détecté. 

Enfin, en fonction des besoins métiers, une méthode de détection possible est d’alerter sur les connexions sortantes depuis l’appliance à destination d’internet, particulièrement via SSH. 

____________

Mise à jour du 18 janvier 2023 

Des avancées significatives ont été réalisées dans l’analyse des vulnérabilités Ivanti. Plusieurs acteurs, dont Rapid7, ont contribué à cette compréhension approfondie en proposant une analyse avancée.  En complément de ces analyses, Rapid7 a mis à disposition sur GitHub un module d’exploitation Metasploit. Suite à cela, des règles de détection spécifiques (sid 2050095 et 2050096) ont été élaborées et publiées par ET Pro le 16 janvier dernier.  

___________

Correction 

Dans son communiqué, la société Ivanti indique qu’il n’y aura pas de correctif publié avant la semaine du 22 janvier 2024 pour la première version, et jusqu’à la semaine du 19 février 2024 pour la version finale. 

Cependant, l’éditeur a mis en place une solution de contournement temporaire pour pallier l’absence de correctif jusqu’à la date de publication.  

Il est donc fortement conseillé d’appliquer dès que possible cette mesure provisoire, puis les correctifs dès que ceux-ci seront disponibles.  

Aussi, aux vues de l’exploitation active de ces vulnérabilités, il est important de vérifier après correction que l’équipement n’a pas été compromis. Parmi les éléments permettant de détecter une compromission :  

  • Les journaux ont été vidés et/ou désactivés ; 
  • La présence de requêtes vers des chemins atypiques ; 
  • Détection de modification de l’équipement via l’outil de vérification d’intégrité. (Note : la compromission de l’équipement rend cependant cette vérification plus qu’incertaine) 

 

Auteur : Purple Team Gatewatcher