Des vulnérabilités critiques chez Ivanti
Jeff Abbott, le CEO d’Ivanti, a récemment affirmé avoir travaillé sur la sécurité des produits de l’entreprise. Cependant, l’exploit d’une vulnérabilité par injection SQL dans la solution Endpoint Manager (EPM) d’Ivanti a confirmé l’existence d’une faille majeure, permettant l’exécution de code à distance. Malgré un correctif appliqué en mai 2024, cette situation soulève des inquiétudes pour le fournisseur de solutions de gestion IT.
Alerte de la Cisa sur une faille active
L’agence américaine de cybersécurité et de sécurité des infrastructures (Cisa) a mis en garde les entreprises concernant l’exploitation active d’une vulnérabilité critique dans Endpoint Manager. Identifiée sous le nom de CVE-2024-29824, cette faille permettrait à un attaquant non authentifié au sein du réseau de l’organisation d’exécuter un code arbitraire à distance. La Cisa souligne que peu de clients ont été affectés jusqu’à présent, mais elle a ajouté cette vulnérabilité à son catalogue de vulnérabilités connues et exploitées (KEV).
Les défis de la sécurité d’Ivanti
Les versions 2022 et antérieures de l’EPM, disponibles sous le nom de mise à jour de service 5 (SU5), ont été touchées par plusieurs bogues d’exécution de code critique, tous notés avec une gravité de 9,6 sur 10 sur l’échelle CVSS. Cette situation a des implications importantes pour les entreprises cherchant à gérer et sécuriser leurs terminaux, tels que les ordinateurs de bureau et les appareils mobiles.
Les autres vulnérabilités découvertes
Outre la faille CVE-2024-29824, plusieurs autres vulnérabilités d’injection SQL ont été identifiées, notamment CVE-2024-29822, CVE-2024-29823, CVE-2024-29825, CVE-2024-29826 et CVE-2024-29827. Bien qu’Ivanti n’ait pas publié de détails techniques sur ces exploits, la société Horizon3ai a partagé un exploit de preuve de concept sur GitHub, ce qui n’a pas manqué de susciter des préoccupations quant à la sécurité.
Recommandations pour les utilisateurs
Il est fortement conseillé aux clients utilisant les versions concernées de mettre en œuvre les correctifs fournis par Ivanti. Dans les cas où cela n’est pas possible, il est recommandé d’interrompre immédiatement l’utilisation de la solution. Bien que la Cisa indique qu’il n’y a aucune preuve d’exploitation dans des attaques de ransomware, les utilisateurs doivent rester vigilants.
Engagement d’Ivanti envers la sécurité
Dans une lettre adressée à ses clients et partenaires en avril dernier, Jeff Abbott avait exprimé son engagement à revoir la sécurité des produits d’Ivanti. Il a reconnu que les événements récents étaient « humiliants » et a promis une refonte des processus pour garantir un niveau de protection optimal pour les clients. La communauté IT attend maintenant de voir comment ces promesses se traduiront en actions concrètes.