Bois des cars, lot 63 Dely Brahim -Alger 0657 02 63 77 contact@fortiwell.dz

Blog

Accueil

Des acteurs malveillants exploitent une nouvelle faille critique d’Ivanti

Une nouvelle année, mais le même scénario se répète pour Ivanti. Malgré les engagements de l’entreprise en matière de conception sécurisée, des acteurs de menace, probablement les mêmes que précédemment, exploitent une nouvelle vulnérabilité critique dans ses appareils d’accès à distance. Cette faille, identifiée sous le code CVE-2025-0282, permet une exécution de code à distance sans authentification, et a déjà été exploitée par un groupe de menace présumé d’origine chinoise.

Une histoire qui se répète

Ivanti a été confrontée à plusieurs vulnérabilités critiques en 2024, affectant ses produits phares comme Connect Secure (ICS), Policy Secure et Neurons for Zero Trust Access (ZTA). Ces failles ont été exploitées à plusieurs reprises par des groupes de menace sophistiqués, notamment UNC5337, lié à des activités cybercriminelles d’origine chinoise. Cette fois-ci, les attaquants exploitent une nouvelle faille critique dans ICS, démontrant une connaissance approfondie des appareils Ivanti.

Deux nouvelles failles identifiées

Ivanti a signalé deux nouvelles vulnérabilités :

  1. CVE-2025-0282 : Une faille critique (score CVSS de 9,0) permettant une exécution de code à distance sans authentification. Les chercheurs de watchTowr ont réussi à inverser l’exploit en comparant les versions patchées et non patchées d’ICS.
  2. CVE-2025-0283 : Une vulnérabilité de débordement de mémoire tampon (score CVSS de 7,0) nécessitant une authentification préalable pour une élévation de privilèges. Aucune exploitation n’a été observée pour le moment.

Des outils malveillants sophistiqués

Mandiant a observé que les attaquants exploitent CVE-2025-0282 depuis mi-décembre, déployant la famille de malwares "Spawn", déjà utilisée lors des précédentes attaques contre Ivanti. Ces outils incluent :

  • SpawnAnt :Un installateur qui dépose d’autres malwares et persiste après les mises à jour système.
  • SpawnMole :Facilite la communication avec l’infrastructure des attaquants.
  • SpawnSnail :Une backdoor SSH passive.
  • SpawnSloth :Manipule les logs pour masquer les activités malveillantes.

En plus de ces outils, deux autres malwares personnalisés ont été observés :

  • DryHook :Un script Python conçu pour voler les identifiants des utilisateurs.
  • PhaseJam : Un script bash permettant l’exécution de commandes à distance. Il utilise une astuce ingénieuse pour maintenir sa persistance : il affiche une fausse barre de progression lors des tentatives de mise à jour, tout en empêchant la mise à jour légitime de s’exécuter.

Réponse d’Ivanti et recommandations

Ivanti et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié des instructions pour atténuer les risques liés à CVE-2025-0282. Ils recommandent aux administrateurs d’utiliser l’outil de vérification d’intégrité (ICT) intégré pour détecter les infections et d’appliquer les correctifs dès que possible. Cependant, les correctifs pour Policy Secure et ZTA ne seront disponibles que le 21 janvier, ce qui laisse une fenêtre de vulnérabilité pour ces appareils.

Un porte-parole d’Ivanti a déclaré : "Nous avons publié un correctif pour les vulnérabilités liées à Ivanti Connect Secure. L’exploitation a été limitée et nous travaillons activement avec les clients concernés. L’ICT a été efficace pour identifier les compromissions liées à cette vulnérabilité."

Un défi pour les équipes de sécurité

Adam Marrè, CISO d’Arctic Wolf, souligne que la complexité de l’ingénierie sécurisée rend difficile la prévention de toutes les vulnérabilités. "Même en suivant les principes de conception sécurisée, des acteurs sophistiqués peuvent trouver des failles", explique-t-il. Matt Lin, consultant senior chez Mandiant, ajoute que les organisations réactives face à ces menaces subissent moins d’impacts négatifs que celles qui tardent à agir.

Conclusion

Cette nouvelle exploitation des appareils Ivanti rappelle l’importance d’une réponse rapide et proactive face aux vulnérabilités critiques. Les équipes de sécurité doivent rester vigilantes, appliquer les correctifs rapidement et surveiller leurs systèmes pour détecter toute activité suspecte. Alors que les acteurs malveillants continuent d’affiner leurs techniques, la collaboration entre les éditeurs, les chercheurs en sécurité et les organisations est essentielle pour limiter les risques et protéger les infrastructures critiques.

Services

Infrastructure IT Cybersécurité Développement d’applications Support IT Formations