« Les mises à jour, c’est comme les vampires: si on ne les invite pas régulièrement, ils finissent par nous mordre. » – Anonyme de l’informatique. Nos amis chez Ivanti ont surement dû manquer quelques invitations, car leur VPN Connect Secure semble être la discothèque du moment pour les danseurs du code malveillant!
Vous vous souvenez des films où un seul trou dans la cuirasse du héros lui est fatal? Eh bien, chez Ivanti, reprenons l’histoire des trojans pas si trojans: deux nouvelles brèches de sécurité ont été dévoilées, nommées CVE-2024-21888 et CVE-2024-21893. À croire que Connect Secure organise des portes ouvertes pour les pirates informatiques. C’est assez ironique pour un service utilisé par 40 000 clients, incluant des universités, des hôpitaux et des banques, qui comptent sur l’outil pour permettre le travail à distance en toute sécurité.
Le bal des bogues avait commencé un peu plus tôt, avec deux petites failles CVE-2023-46805 et CVE-2024-21887, qui ont semblé dire « Ni hao » à des hackers soutenus par la Chine, avides de secrets industrielles. Quelle que soit la hauteur de la Great Firewall, l’appétit pour l’espionnage semble ne connaître aucune limite.
Les vulnérabilités ont été colmatées, mais Ivanti ne fait pas encore VPN-touse de la situation.
Depuis, Ivanti a mis des rustines sur ces problèmes, mais il semble que les fissures soient plus profondes que prévu. CVE-2024-21893, un vilain défaut de requête côté serveur, est maintenant exploitée à grande échelle. Il paraît que le code pour en abuser se balade en public, faisant des dispositifs non-patchés des cibles aussi exposées qu’un système d’exploitation des années 90 sur l’internet sauvage d’aujourd’hui.
Piotr Kijewski, de la Shadowserver Foundation, a conté à notre confrère TechCrunch que plus de 630 IP fantômes tentent de profiter de la faille. C’est un sacré essaim de cyber-frelons! Pour ajouter au tableau, il semblerait que sur les 20 800 appareils Ivanti vulnérables, personne ne sait vraiment combien sont véritablement protégés. On s’entend que c’est un peu comme essayer de compter les moutons pendant une insomnie numérique.
L’identité des maraudeurs virtuels n’est pas encore démasquée, mais on soupçonne un énième groupe soutenu par le gouvernement chinois qui ne semble pas faire de quartier dans sa quête d’informations. Ivanti, de son côté, joue la carte du mystère, éludant les questions des journalistes sur l’ampleur de l’exploitation de leur système. C’est un peu la version moderne du « c’est pas moi, c’est lui ».
Pendant que les autorités américaines donnent l’ordre de débrancher d’urgence tout équipement Ivanti VPN en fonction à cause de ces vulnérabilités, chez Ivanti on distribue des rustines en ordre décroissant d’utilisation et… on attend la suite, car la fin du festival des patchs n’est pas encore annoncée.
Restez donc à l’écoute, car dans le monde merveilleux de la cybersécurité, il semblerait qu’une bonne partie de cache-cache nous attende, entre les patchs, les failles et les exploits. Et comme dirait un célèbre personnage de bande dessinée, « ils sont fous ces hackers! »
Source : Techcrunch
