Une faille a été déterminée dans la solution de gestion des terminaux bout de réseau d’Ivanti. Il s’agit de la vulnérabilité CVE-2023-39336 avec une note de 9,6 sur 10 sur la liste de CISA. Même si aucun incident n’a encore été signalé, il est recommandé d’utiliser le correctif pour se prémunir des éventuels incidents.
Dans le passé, des cybercriminels experts dans les attaques ransomware ont pu exploiter des failles dans des logiciels de gestion des terminaux. Cela inclut également les logiciels utilisés par des fournisseurs de services managés (MSP).
Nombreuses sont les entreprises qui ont été victimes de ces attaques. Elles ont alors dû faire face aux conséquences néfastes. Pour ce faire, les attaquants peuvent utiliser des agents de gestion. Ces derniers vont servir des chevaux de Troie afin d’établir un accès aux systèmes des entreprises, car ils disposent des autorisations et des compétences pour cela. Récemment, Ivanti alerte ses clients sur la nouvelle faille dans sa solution EDM.
La faille critique dans Ivanti Endpoint Manager CVE-2023-39336
En 2023, Ivanti a conçu un dispositif pour superviser les terminaux Endpoint Manager pour les sociétés. Malgré cette vulnérabilité actuellement résolue, recourir à ce dispositif pourrait entraîner le piratage des terminaux gérés par cette solution.
Pour cela, les utilisateurs sont vivement priés d’appliquer le correctif. Les défaillances dans ce type d’outils sont en effet des points de mire privilégiés pour les attaquants.
La faille CVE-2023-39336 affecte par exemple la version EPM 2022 SU4 du logiciel Ivanti. Outre cette version, les utilisateurs des versions antérieures sont aussi exposés au risque, car elles sont vulnérables à cette faille. Sur une échelle de 0 à 10, la vulnérabilité dans ce cas-ci est de 9,6 sur 10.
En matière d’injection SQL, cette faille permet aux assaillants sur le même réseau d’exécuter arbitrairement des requêtes SQL. Même pour en extraire les résultats, cela ne nécessite aucune authentification du serveur EPM. En cas d’exploitation réussie, les attaquants ont également la possibilité de :
- Prendre le contrôle des machines équipées d’EPM ;
- Exécuter le code arbitraire sur le serveur (si la configuration est effectuée avec Microsoft SQL Express).
À l’inverse, les conséquences de cette situation s’étendent à chaque instance de MSSQL. Ces conséquences présentent l’urgence de fixer des mesures de sécurité, qui peuvent être couteuses. Mais grâce aux avantages du portage salarial, renforcer la gestion et la protection des systèmes informatiques à coût raisonnable est possible.
Les Vulnérabilités exploitées et les avertissements de sécurité
En juillet 2023, des acteurs ayant obtenu un soutien gouvernemental ont tiré parti de deux failles zero day, sous les références :
- CVE-2023-35078 ;
- CVE-2023-35081.
Ces vulnérabilités ont été exploitées dans la solution Endpoint Manager Mobile (EPMM), connue en tant que MobileIron Core avant. Ils ont utilisé ces deux références pour réussir à pénétrer les réseaux informatiques de la Norvège.
En août 2023, Ivanti a averti sa clientèle sur l’existence d’une vulnérabilité spécifique. Il s’agit de la possibilité qu’un individu non autorisé puisse contourner les mesures de sécurité liées au produit. Il répertoriait MobileIron Sentry, qui remplissait alors le rôle de passerelle. Ce produit doit donc :
- Assurer la sécurité du trafic entre les terminaux mobiles ;
- Garantir la protection des systèmes d’entreprise backend.
À cette époque, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a pris note de cette vulnérabilité spécifique. Cette dernière fait donc partie des failles répertoriées dans « Known Exploited Vulnerabilities ».
En décembre 2023, 20 failles de sécurité sont corrigées au sein de la solution pour gérer des terminaux mobiles : Avalanche. Mais, jusqu’à maintenant, aucun rapport n’a signalé que ces failles aient été exploitées dans des incidents réels.
Toutefois, des failles zero day dans les produits de gestion des terminaux ont été utilisées par des personnes malveillantes. Ivanti recommande donc la vigilance. D’ailleurs, dans ce contexte, il est possible de prendre en compte les avantages du portage salarial au sein des sociétés. Cela permettrait de recourir à moindres frais à des experts IT spécialisés en cybersécurité.