Ivanti - CVE-2024-21893

Date de publication :

Date de mise à jour :

Une vulnérabilité de falsification de requêtes côté serveur dans le composant SAML d’Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Neurons permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de porter atteinte à la confidentialité des données.

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-918: Server-Side Request Forgery (SSRF)

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Ivanti Connect Secure versions 9.x et 22.x

Ivanti Policy Secure versions 9.x et 22.x

Ivanti Neurons pour ZTA

Contournement provisoire

Appliquer la solution de contournement suivante préconisée par Ivanti : [Article KB]. 

Le CERT-FR indique que si cette mesure n’a pas encore été mise en place alors l’appareil doit être considéré comme compromis. 
Si l’appareil est compromis, il est nécessaire de suivre les indications de l’[Article KB] d’Ivanti pour réinitialiser l’appareil et installer le fichier de contournement.

Une fois le contournement installé, aucune configuration ne doit être déployée sur l’équipement avant l’application du correctif. Cela peut entrainer des dysfonctionnements de certains services, rendant la mesure de contournement inefficace.

Solutions ou recommandations

Mettre à jour Ivanti Connect Secure vers la version 9.1R15.3, 9.1R16.3, 9.1R17.2, 9.1R18.3, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.2 et 22.5R1.1, 22.5R2.2 ou ultérieure.

Mettre à jour Ivanti Policy Secure vers la version 9.1R16.3, 22.4R1.1, 22.5R1.1, 22.6R1.1 ou ultérieure.

Mettre à jour ZTA vers la version 22.6R1.3 ou ultérieure.

Ivanti a ajouté des recommandations pour les configurations en cluster disponibles sur son [article KB].

Il est recommandé d’appliquer la mesure de contournement préconisée par Ivanti pour les appliances Ivanti Policy Secure qui ne sont pas prises en charge par le correctif.

L’éditeur recommande de réinitialiser (paramétrage usine) les appliances avant d’appliquer les mises à jour, afin d’inhiber  toute persistance obtenue par d’éventuels attaquants lors de la mise à niveau. Pour savoir si vous êtes concernés par les attaques sur cette vulnérabilité, il est recommandé d’exécuter le script Integrity Checker Tool publié par Ivanti sur les équipements du cluster. Si les étapes 8 et 9 renvoient un résultat, l’appareil est compromis. Une recherche de l’ensemble des indicateurs de compromissions disponibles en lien dans l’alerte du CERT-FR est également recommandée.

Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.