Failles d’Ivanti : une centaine d’organisations victimes en France

C


Une centaine d’organisations en France ont été visés par une attaque informatique basée sur l’exploitation des failles de deux logiciels critiques de la société Ivanti, Ivanti Connect Secure et de Policy Secure Gateways, a signalé l’Anssi lors de la présentation du dernier panorama de la menace de l’agence.

Le Centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) avait alerté à plusieurs reprises sur la nécessité de mettre à jour ces deux passerelles de sécurité, de véritables couteaux-suisses qui en font des cibles très intéressantes pour des attaquants.


Au-delà de cette volumétrie, l’Anssi a donné des détails intéressants sur la façon dont ces deux failles ont été exploitées. Sans surprise, “il y a eu une campagne massive d’exploitation dans les heures qui ont suivi” la découverte des failles, a ainsi relevé Mathieu Feuillet, le directeur des opérations du cyber-pompier de l’Etat. Comme on le savait déjà, la découverte de ce genre de vulnérabilité est très vite exploitée par des attaquants.

 

 

Quasiment pas de mouvement latéral 

Une manœuvre qui semble, dans le cas des failles Ivanti, largement opportuniste. Dans l’immense majorité des cas, et sauf quelques exceptions, la compromission ne s’est pas accompagnée d’un mouvement latéral, c’est-à-dire une poursuite de l’attaque vers d’autres accès, logiciels ou serveurs.

Il s’agissait vraisemblablement pour les attaquants de mettre d’abord un premier pied chez leur cible.

A ce sujet, “les premiers à être venus nous voir sont des organisations issues des secteurs les plus matures, qui ont été capables de détecter qu’ils avaient un problème”, a signalé Mathieu Feuillet. L’Anssi agit également de manière proactive sur ce sujet, en faisant des scans pour identifier des serveurs vulnérables après la découverte de failles majeures et ainsi signaler le problème aux organisations concernées.

Mises à jour trop longues 

Or, malgré les alertes publiques et privées de l’agence, “nous restons sur des temps de mise à jour longs”, a déploré Mathieu Feuillet. Et de citer l’exemple de Proxylogon, ces failles Exchange découvertes en mars 2021. Le 24 mars, l’Anssi comptait 2213 adresses IP françaises vulnérables. Près d’un mois plus tard, le 20 avril, il restait encore 1267 adresses vulnérables. Un chiffre qui avait baissé plus lentement par la suite, passant à 1092 adresses vulnérables au 4 mai et 888 au 2 juin.


“L’Anssi observe que de nombreux attaquants profitent d’une trop faible maîtrise par les victimes de leurs systèmes d’information, précise dans son panorama de la menace l’agence dirigée par Vincent Strubel. Bien que complexe, le maintien à jour des services est primordial pour l’application rapide de correctifs de sécurité.”


En 2023, la vulnérabilité la plus exploitée a été, selon les rapports de l’Anssi après une intervention sur un incident de sécurité, la faille CVE-2021-21974 visant VMWare, une vulnérabilité datant de février 2021. On retrouve également dans ce top 5 des failles une vulnérabilité Cisco (CVE-2023-20198), Citrix (CVE-2023-3519), Atlassian (CVE-22023-22518) et Progress Software (CVE-2023-34362)



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.