Le fabricant de logiciels a annoncé qu’une faille de dépassement de tampon basée sur la pile dans son appliance VPN SSL avait été exploitée de manière sauvage. Ivanti Policy Secure et Ivanti Neurons pour les passerelles ZTA sont également concernés.
Le fournisseur de logiciels informatiques Ivanti a publié mercredi des correctifs pour ses appliances VPN Connect Secure SSL afin de corriger deux vulnérabilités de corruption de mémoire, dont l’une a déjà été exploitée dans la nature comme un jour zéro pour compromettre les appareils.
La vulnérabilité exploitée, identifiée comme CVE-2025-0282, est un débordement de tampon basé sur la pile jugé critique avec un score CVSS de 9,0. La faille peut être exploitée sans authentification pour réaliser l’exécution de code à distance et affecte Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Neurons pour les passerelles ZTA.
La deuxième vulnérabilité, CVE-2025-0283, est également un débordement de tampon basé sur la pile affectant les mêmes produits, mais nécessite une authentification pour être exploitée et ne peut conduire qu’à une élévation de privilèges. Il est classé comme étant de gravité élevée avec un score CVSS de 7,0.
Selon l’avis d’Ivanti, CVE-2025-0282 a été exploité dans « un nombre limité d’appliances Ivanti Connect Secure de clients », mais la société n’a pas encore connaissance d’une exploitation réelle contre Ivanti Policy Secure et Ivanti Neurons pour les passerelles ZTA.
Quant à CVE-2025-0283, cette vulnérabilité a été découverte en interne lors de l’enquête sur CVE-2025-0282, et il n’y a aucune preuve qu’elle ait été exploitée. Il n’est pas nécessaire d’enchaîner les failles pour réussir une attaque.
Pour l’instant, les correctifs sont disponibles uniquement pour Ivanti Connect Secure, les correctifs pour Policy Secure et Neurons étant prévus pour le 21 janvier. Cela laisse plus que suffisamment de temps pour que les correctifs fassent l’objet d’une ingénierie inverse et que les exploits de preuve de concept soient développés et adoptés. par les assaillants.
Cependant, Ivanti souligne que Policy Secure n’est pas censé être exposé à Internet, ce qui réduit le risque. Il conseille à tous les clients de s’assurer que l’appareil est configuré conformément aux recommandations officielles.
Pendant ce temps, les passerelles Neurons ZTA ne peuvent pas être exploitées en production lorsqu’elles sont connectées à un contrôleur ZTA. Seules les passerelles générées et laissées non connectées risquent d’être exploitées.
Pour Connect Secure, la société conseille aux clients de passer à la version 22.7R2.5 et d’effectuer des analyses avec l’outil de vérification d’intégrité (ICT) interne et externe, qui devraient détecter les signes de compromission.
« Une réinitialisation d’usine sur les appareils dotés d’une analyse informatique propre est recommandée avant de mettre le 22.7R2.5 en production par mesure de prudence », a déclaré la société.
La vulnérabilité CVE-2025-0283 affecte à la fois les versions 22.x et 9.x de Connect Secure, bien que la branche 9.x, qui a atteint sa fin de vie le 31 décembre, ne recevra pas de correctif. La faille CVE-2025-0282 impacte uniquement la branche 22.x.
« L’activité des acteurs menaçants a été identifiée par l’Integrity Checker Tool (ICT) le jour même où elle s’est produite, permettant à Ivanti de réagir rapidement et de développer rapidement un correctif », a déclaré la société dans un article de blog. « Nous continuons de travailler en étroite collaboration avec les clients concernés, les partenaires de sécurité externes et les forces de l’ordre pour répondre à cette menace. Nous conseillons vivement à tous les clients de surveiller de près leurs TIC internes et externes dans le cadre d’une approche robuste et multicouche de la cybersécurité afin de garantir l’intégrité et la sécurité de l’ensemble de l’infrastructure réseau.
La société remercie Mandiant de Google et le Threat Intelligence Center (MSTIC) de Microsoft pour leur collaboration dans la réponse. Il est donc possible que plus de détails sur les attaques qui ont exploité la vulnérabilité soient publiés ultérieurement par ces sociétés, comme cela s’est produit dans le passé.
Il ne s’agit là que de la dernière d’une série de vulnérabilités dans les produits Ivanti exploitées de manière sauvage en tant que Zero Day par les groupes APT au cours de l’année écoulée. En février 2024, le gouvernement américain est allé jusqu’à ordonner aux agences de mettre hors ligne les VPN Ivanti.
La société n’a pas publié publiquement les indicateurs de compromission observés pour ce dernier exploit, mais a déclaré que ces informations seraient partagées sur demande avec les clients ayant confirmé l’impact des analyses TIC.