Le Centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) de l’Anssi vient de mettre à jour il y a quelques jours son bulletin d’alerte au sujet des failles d’Ivanti Connect Secure et de Policy Secure Gateways, en signalant la publication de correctifs pour certaines versions des deux logiciels jusqu’ici pas encore patchées.
Des attaquants exploitent en effet “massivement” ces vulnérabilités découvertes durant le mois dernier sur ces deux passerelles de sécurité, rappelle le CERT-FR. Dans un communiqué commun publié il y a deux semaines, la Commission européenne, l’agence de police Europol et l’Enisa ont également souligné qu’il était “crucial que les organisations [concernées] réagissent de manière appropriée”, c’est-à-dire en patchant leurs logiciels.
Couteau suisse
Ces deux passerelles sont censées permettre la mise en place d’un tunnel sécurisé entre des machines, par exemple pour le télétravail. Mais “ces solutions ne sont pas justes un VPN, cela permet beaucoup d’autres choses”, expliquait Vladimir Kolla dans le podcast de “No Limit Secu”: un portail web avec un VPN sans client installé sur le poste, la gestion de comptes Active Directory ou encore des authentifications, par exemple.
Ce côté “couteau suisse” explique les craintes actuelles des professionnels de la sécurité informatique. Il reste en effet manifestement des machines vulnérables, comme par exemple en témoigne cette carte de Shadowserver, cette fondation dédiée à la recherche sur les activités malveillantes, qui listait hier 77 instances vulnérables en France. Une chasse à laquelle participe le CERT-FR, qui réalise des scans pour alerter des organisations françaises ayant des instances pouvant être compromises.
Failles dévoilées en janvier
Les premières failles, dévoilées le 10 janvier, avaient été identifiées par des chercheurs de l’entreprise Volexity. Après avoir été alertés sur une intrusion sur le réseau d’un de leurs clients, ils avaient montré que les attaquants avaient exploité deux failles dans Ivanti Connect Secure pour voler des informations de configuration, modifier et télécharger des fichiers, et enfin inverser le tunnel sécurisé du logiciel.
Mais en corrigeant en urgence ces deux failles, Ivanti a malencontreusement ouvert la porte à une nouvelle vulnérabilité, désormais elle aussi patchée. “Nous n’avons aucune preuve que cette vulnérabilité soit exploitée”, ayant été découverte lors de l’examen du code, a précisé l’entreprise.
En cas de détection d’une attaque, le CERT-FR appelle à réaliser un gel des données, avant ensuite de signaler l’événement au centre de veille.