CVE-2023-46805 et CVE-2024-21887 Détection : Des Acteurs de Menace Chinois Exploitent des Vulnérabilités Zero-Day dans les Instances Invanti Connect Secure et Policy Secure
Table des matières :
Les vulnérabilités critiques de type zero-day impactant les systèmes exposés à l’extérieur posent de graves menaces à de nombreuses organisations qui en dépendent, les exposant à des risques de RCE et de compromission du système, tout comme l’exploitation active du FortiOS SSL-VPN défaut a semé le chaos en janvier 2023. Récemment, des groupes de pirates informatiques parrainés par l’État chinois ont été observés en train d’exploiter deux vulnérabilités zero-day suivies sous les codes CVE-2023-46805 & CVE-2024-21887 dans les appareils Ivanti Connect Secure (ICS) et Policy Secure. Les défauts détectés peuvent être utilisés par les attaquants pour créer une chaîne d’exploitation, permettant la prise de contrôle des instances impactées via Internet. Les correctifs de vulnérabilité devraient être déployés progressivement, à partir de la semaine du 22 janvier 2024.
Détecter une chaîne d’exploitation potentielle CVE-2023-46805 et CVE-2024-21887
L’exploitation des vulnérabilités reste l’un des principaux vecteurs d’intrusion pour les acteurs étatiques, et au cours de la dernière décennie, le nombre d’applications vulnérables a considérablement augmenté. Dès la première semaine de janvier 2024, les professionnels de la sécurité ont révélé plus de 600 nouvelles failles de sécurité, contribuant à un total annuel de plus de 29 000 signalées en 2023.
Pour devancer les menaces émergentes et découvrir les cyberattaques à leurs premiers stades de développement, les défenseurs du cyberespace ont besoin d’outils innovants de chasse aux menaces accompagnés d’une source fiable de contenu de détection. La plateforme SOC Prime pour la défense cybernétique collective agrège plus de 11 000 règles Sigma basées sur le comportement pour s’assurer qu’aucune menace ne passe inaperçue sous votre surveillance. Appuyez sur le Explorer les détections bouton ci-dessous et explorez la liste des règles visant à détecter les exploitations CVE-2023-46805 et CVE-2024-21887.
Toutes les règles sont compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake et sont mappées au cadre MITRE ATT&CK. De plus, les détections sont enrichies de métadonnées détaillées, notamment des liens CTI, des références médiatiques, des recommandations de triage, etc.
Analyse des CVE-2023-46805 et CVE-2024-21887
Des chercheurs chez Ivanti ont récemment identifié et soulevé des inquiétudes concernant deux vulnérabilités zero-day suivies sous les codes CVE-2023-46805 et CVE-2024-21887, qui sont actuellement exploitées activement par des acteurs liés à l’État chinois. Les failles de sécurité impactent les passerelles Ivanti Connect Secure (ICS) et Ivanti Policy Secure. Toutes les versions logicielles, y compris les versions 9.x et 22.x, sont affectées.
CVE-2023-46805, avec un score CVSS de 8,2, est une faille de contournement de l’authentification qui donne le feu vert aux adversaires pour accéder à distance à des matériaux restreints en contournant les vérifications de contrôle. CVE-2024-21887, noté 9,1 sur l’échelle CVSS, est une vulnérabilité critique d’injection de commande qui permet aux administrateurs authentifiés d’envoyer des demandes spécifiques et d’exécuter des commandes arbitraires sur les appareils impactés. Les deux vulnérabilités peuvent être enchaînées ensemble, permettant aux attaquants de prendre le contrôle des appareils compromis.
En décembre 2023, les chercheurs de Volexity ont été les premiers à détecter l’activité suspecte impliquant l’exploitation dans la nature des CVE-2023-46805 et CVE-2024-21887, menant à des RCE non authentifiés dans les appareils VPN Ivanti Connect Secure. Les chercheurs relient l’activité adversaire découverte à un groupe de piratage suivi sous le nom de UTA0178. L’exploitation réussie permet aux attaquants d’accéder aux données de configuration, de modifier les fichiers existants, de récupérer des fichiers à distance et d’établir un tunnel inversé depuis l’appareil VPN ICS menant à une compromission supplémentaire du système.
Les attaques en cours impliquent également de la reconnaissance, des mouvements latéraux, et l’utilisation d’une web shell personnalisée nommée GLASSTOKEN. Cette dernière est déployée via un fichier CGI compromis, assurant un accès distant persistant aux serveurs web exposés au public. Notamment, les adversaires soupçonnés d’être soutenus par des États ont déployé au moins cinq familles de malwares diverses dans leurs activités post-exploitation.
En raison des risques croissants d’exploitation active des zero-days Ivanti VPN dans la nature, le CISA a ajouté les failles à son catalogue de vulnérabilités exploitées connues et a récemment émis une alerte dédiée pour sensibiliser à la cybersécurité.
En réponse à l’aggravation des risques, Ivanti a publié un avis de sécurité couvrant les détails des vulnérabilités et les atténuations potentielles tandis que les correctifs sont en route. En attendant, les utilisateurs d’Ivanti sont conseillés de mettre en œuvre une solution de contournement à titre préventif contre les menaces potentielles. Les organisations utilisant les appareils VPN ICS sont également fortement recommandées d’examiner minutieusement leurs journaux, la télémétrie du réseau et les résultats de l’outil interne de vérification d’intégrité pour identifier à temps toute indication de compromission réussie.
Étant donné que les systèmes exposés à Internet, en particulier les appareils cruciaux tels que les appareils VPN et les pare-feu, émergent comme des cibles très prisées pour les pirates, les défenseurs doivent être constamment en alerte pour prévenir de telles attaques. Avec les attaques en cours dans la nature, où les hackers soutenus par la Chine exploitent les zero-days d’Ivanti VPN, renforcer la résilience cybernétique est d’une valeur capitale. Les défenseurs peuvent compter sur Uncoder AI pour accélérer les opérations de développement de détection à grande échelle et simplifier le codage des règles, la correspondance des IOC et la traduction fluide du contenu de détection en 65 formats de langues tout en automatisant les tâches routinières, économisant du temps pour la surveillance de la sécurité et améliorant la résilience du réseau.
