News
Cutting Edge, partie 2 : Enquête sur l’exploitation de la faille Zero-Day d’Ivanti Connect Secure VPN
février 2024 par Mandiant
Le 12 janvier 2024, Mandiant a publié un article de blog détaillant deux vulnérabilités zero-day à fort impact, CVE-2023-46805 et CVE-2024-21887, affectant les appliances Ivanti Connect Secure VPN (CS, anciennement Pulse Secure) et Ivanti Policy Secure (PS). Le 31 janvier 2024, Ivanti a révélé deux autres vulnérabilités affectant les appareils CS et PS, CVE-2024-21888 et CVE-2024-21893.
Ces vulnérabilités permettent à un acteur non authentifié d’exécuter des commandes arbitraires sur l’appliance avec des privilèges élevés. Comme indiqué précédemment, Mandiant a identifié une exploitation " zeroday" de ces vulnérabilités dans la nature àpartir du 3 décembre 2023 par un acteur suspecté d’espionnage d’origine suspectée chinoise, actuellement suivi sous le nom d’UNC5221.
Mandiant a identifié une vaste activité d’exploitation suite à la divulgation des deux vulnérabilités, à la fois par UNC5221 et par d’autres groupes de menaces non catégorisés. Mandiant estime qu’une part importante de l’activité post-conseil a été réalisée par des méthodes automatisées.
Voici d’autres tactiques, techniques et procédures (TTP) employées par UNC5221 et d’autres groupes de menace au cours de l’activité post-exploitation dans le cadre de nos missions de réponse aux incidents. De nouvelles familles de logiciels malveillants et des variantes de familles de logiciels malveillants ont également été identifiées comme utilisées par l’UNC5221. Mandiant reconnait la possibilité qu’un ou plusieurs groupes apparentés soient associés à l’activité décrite. Il est probable que d’autres groupes que l’UNC5221 aient adopté un ou plusieurs de ces outils.
Ces observations ont été étayées par les engagements de Mandiant en matière de réponse aux incidents, en collaboration avec Ivanti et ses partenaires. Mandiant fournit également des recommandations supplémentaires pour les défenseurs du réseau, notamment des indicateurs de compromission (IOC), des règles YARA et un guide de renforcement.
Note : Ivanti a publié sa première série de correctifs à partir d’aujourd’hui, et il est prévu de continuer à déployer des correctifs supplémentaires au cours des prochaines semaines. Ivanti recommande aux clients qui attendent les correctifs d’appliquer les mesures d’atténuation, d’exécuter l’outil externe Integrity Checker Tool (ICT) pour vérifier s’il existe des preuves d’exploitation, et de continuer à suivre l’article KB pour recevoir les mises à jour du produit au fur et à mesure qu’elles sont disponibles.
