Depuis l’annonce, le CISA ainsi qu’Ivanti et le CERT-FR ont donné leurs recommandations vis-à-vis de ces vulnérabilités.

Les recommandations suivantes ont, ainsi, été émises par la CISA :

• Déconnecter tous les produits Ivanti Connect Secure et Ivanti Policy Secure des réseaux de production ;
• Rechercher des compromissions sur tous les systèmes concernés, récemment connectés au périphérique Ivanti ;
• Surveiller les services d’authentification, et de gestion des identités, qui auraient pu être exposés, et isoler autant que possible les systèmes des ressources de l’entreprise ;
• Porter une attention toute particulière aux comptes à privilèges élevés.

Un résultat de scanner ICT négatif n’est pas suffisant pour exclure une compromission de boîtier Ivanti Connect Secure ou Policy Secure, notamment pour les raisons suivantes : 

• Le scan ICT ne tourne a priori que toutes les deux heures ;
• Des répertoires de haut niveau localisés sont exclus du scanner ;
• Des indicateurs récents témoignent de capacité de désactivation ou de manipulation de ce scanner interne.

La société Ivanti a publié deux patchs, le 31 janvier et le 1er février, pour les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour Ivanti Connect Secure version 22.5R2.2 et Ivanti Policy Secure 22.5R1.1. Si le patch n’a pas encore été appliqué, ou ne concerne pas la version utilisée, des actions de mitigations ont été proposées par Ivanti. L’éditeur recommande d’importer le fichier mitigation.release.20240126.5.xml à travers le portail de téléchargement. Ce fichier permet de se prémunir contre les CVE-2024-21888, CVE-2024-21893, CVE-2023-46805 et CVE-2024-21887.

Le CERT-FR a détaillé la mise en place du patch proposée par lvanti. Les étapes recommandées sont les suivantes :

• Prendre une acquisition complète de la VM en état de fonctionnement (i.e, snapshot) pour permettre des investigations poussées ;
• Sauvegarder la configuration de l’équipement, et effectuer une remise en configuration d’usine (factory reset).

Cette action devrait permettre de supprimer les fichiers ajoutés par l’attaquant, cependant cela rendra la solution vulnérable. Il faut donc mettre à jour la version installée précédemment (application des mises à jour et des patch XML sur le site d’Ivanti). Enfin lorsque la mise à jour sera effectuée, la configuration de l’équipement peut être installée à partir de la sauvegarde effectuée plus tôt.

Lorsque la restauration de la mise à jour a été effectuée, le CERT-FR conseille de :

1.   Révoquer les certificats des équipements affectés ;
2.   Réinitialiser les mots de passe d’administration ;
3.   Réinitialiser les clés d’API stockées sur l’équipement ;
4.   Réinitialiser les mots de passe des comptes locaux, y compris les comptes de services ;
5.   Réinitialiser les authentifications des serveurs de licences.

Ces étapes sont complémentaires au fait de mener des investigations et une surveillance plus poussées, sur les périmètres affectés par la possible compromission du boîtier VPN.

Suite à la récente mise en lumière des produits Pulse de l’éditeur, d’autres éditeurs de sécurité ont trouvé des vulnérabilités 0days additionnelles, qui seront probablement divulguées dans les prochaines semaines.

TTPs en sources ouvertes ou constatées lors d’investigations