Security
11 min read
2077 views

Exploitation de la chaîne VPN Ivanti : Le KO à deux vulnérabilités 🥊

IT
InstaTunnel Team
Published by our engineering team
Exploitation de la chaîne VPN Ivanti : Le KO à deux vulnérabilités 🥊

Résumé exécutif

Au début de 2024, la communauté de la cybersécurité a assisté à l’une des campagnes d’exploitation VPN les plus importantes ciblant les passerelles Ivanti Connect Secure et Policy Secure. La chaîne de vulnérabilités combinant CVE-2024-21887 et CVE-2023-46805 a permis aux acteurs malveillants d’exécuter du code à distance sans authentification, compromettant des milliers d’appareils dans le monde entier. Cette attaque sophistiquée a montré comment des vulnérabilités apparemment séparées, lorsqu’elles sont enchaînées, peuvent créer des brèches de sécurité dévastatrices affectant des infrastructures critiques dans plusieurs industries.

Comprendre la chaîne de vulnérabilités

CVE-2023-46805 : La faille de contournement d’authentification

CVE-2023-46805 représente une vulnérabilité de contournement d’authentification à haute gravité avec un score CVSS de 8.2. Cette faille existe dans le composant web de Ivanti Connect Secure (anciennement Pulse Connect Secure) et Ivanti Policy Secure, affectant toutes les versions supportées, y compris les versions 9.x et 22.x.

La vulnérabilité permet à des attaquants distants de contourner les contrôles et d’accéder à des ressources restreintes sans authentification appropriée. Le mécanisme de contournement exploite des techniques de traversal de chemin pour contourner les mécanismes de contrôle d’accès, ouvrant essentiellement une porte qui devrait rester verrouillée aux utilisateurs non authentifiés. Cela constitue l’étape fondamentale pour la chaîne d’exploitation, transformant une attaque normalement réservée aux utilisateurs authentifiés en une compromission totalement non authentifiée.

CVE-2024-21887 : La faille d’injection de commandes

CVE-2024-21887 a une gravité critique avec un score CVSS de 9.1. Cette vulnérabilité d’injection de commandes réside dans les composants web des produits Ivanti Connect Secure et Policy Secure. En conditions normales, cette vulnérabilité nécessite un accès administrateur authentifié pour être exploitée, limitant son impact potentiel.

La vulnérabilité concerne spécifiquement le point d’API /api/v1/license/key-status/<path:node_name>. Un administrateur authentifié peut envoyer des requêtes spécialement conçues contenant des charges malveillantes que le système exécute comme des commandes arbitraires. La gamme limitée de caractères autorisés et l’environnement d’exécution rendent cette vulnérabilité particulièrement dangereuse lorsqu’elle est combinée avec la contournement d’authentification.

La combinaison mortelle : RCE non authentifiée

Lorsqu’enchaînées, ces vulnérabilités créent ce que les chercheurs en sécurité appellent un “coup de KO à deux vulnérabilités”. La séquence d’attaque se déroule comme suit :

  1. Accès initial : Les attaquants exploitent CVE-2023-46805 pour contourner les contrôles d’authentification, obtenant un accès aux fonctionnalités administratives sans identifiants
  2. Élévation de privilèges : Le contournement d’authentification donne accès à des points de terminaison normalement réservés aux administrateurs authentifiés
  3. Exécution de commandes : En utilisant CVE-2024-21887, les attaquants injectent des commandes malveillantes via des points d’API vulnérables
  4. Compromission du système : du code arbitraire s’exécute avec des privilèges élevés, donnant aux attaquants un contrôle total sur l’appareil VPN

Cette combinaison transforme deux vulnérabilités distinctes en un vecteur d’attaque unique et dévastateur qui ne nécessite aucune authentification, aucune interaction utilisateur, et permet une compromission complète du système.

Chronologie de la découverte et de l’exploitation

Début décembre 2023 : compromission initiale

Les chercheurs en sécurité de Volexity ont détecté pour la première fois une activité suspecte le 3 décembre 2023, lors d’une surveillance réseau de routine pour l’un de leurs clients en sécurité gérée. L’enquête a révélé des schémas de mouvement latéral incohérents avec le comportement réseau normal, ce qui a conduit à une analyse approfondie qui a finalement découvert l’exploitation zero-day.

10 janvier 2024 : divulgation publique

Ivanti, en coordination avec Volexity et Mandiant (division de recherche en sécurité de Google Cloud), a publié une divulgation publique des deux vulnérabilités le 10 janvier 2024. L’annonce a provoqué une onde de choc dans la communauté de la cybersécurité, car ces vulnérabilités affectaient toutes les versions supportées des solutions VPN d’entreprise largement déployées.

Au moment de la divulgation, aucune correction n’était disponible. Ivanti a plutôt publié un fichier XML de mitigation via leur portail client, nécessitant une importation manuelle de la configuration par les organisations. Cette solution provisoire offrait une certaine protection mais était insuffisante pour une correction complète.

16 janvier 2024 : début de l’exploitation massive

Après la publication d’exploits de preuve de concept le 16 janvier 2024, les chercheurs en sécurité ont observé une augmentation spectaculaire des tentatives d’exploitation. En moins de 24 heures, l’activité de scan a augmenté de façon exponentielle alors que des acteurs malveillants du monde entier cherchaient à identifier des systèmes vulnérables avant la disponibilité des correctifs.

Calendrier de sortie des correctifs

Ivanti a mis en place un calendrier de sortie de correctifs échelonné : - Semaine du 22 janvier 2024 : première version de correctif publiée - Jusqu’au 19 février 2024 : déploiement des correctifs finaux pour toutes les versions supportées

Échelle de la compromission : par chiffres

Statistiques d’exposition mondiale

Des recherches menées par des sociétés de cybersécurité ont révélé l’étendue de la surface d’attaque :

  • Plus de 28 000 instances de Ivanti Connect Secure et Policy Secure exposées à Internet dans 145 pays
  • Plus de 1 700 appareils confirmés compromis dans le monde selon l’analyse de Volexity
  • Plus de 600 cas d’exploitation active observés par divers fournisseurs de sécurité
  • Plus de 17 000 instances vulnérables identifiées via des recherches sur Shodan au pic de la campagne

Impact sur l’industrie

La compromission a touché des organisations de divers secteurs :

  • Gouvernement fédéral : L’Agence de sécurité de la cybersécurité et de la infrastructure (CISA) a publié la Directive d’urgence 24-01, exigeant que toutes les agences fédérales prennent des mesures immédiates
  • Services financiers : Plusieurs institutions bancaires ont signalé des tentatives de compromission
  • Santé : Les réseaux hospitaliers et les établissements médicaux ont détecté des tentatives d’intrusion
  • Technologie : Les fournisseurs de logiciels et les prestataires de services cloud ont trouvé des portes dérobées installées sur leurs appareils VPN
  • Fabrication : Les réseaux de systèmes de contrôle industriel ont été confrontés à des menaces potentielles de mouvement latéral

Attribution et tactiques des acteurs malveillants

UNC5221 : L’adversaire principal

Mandiant a suivi l’acteur de menace principal comme UNC5221, un groupe d’espionnage suspecté d’avoir des liens avec la Chine. Cet acteur avancé et persistant (APT) a démontré une technique sophistiquée comprenant :

  • Arsenal de malware personnalisé : Déploiement de plusieurs familles de malware sur mesure
  • Techniques anti-forensiques : Modification de l’outil Integrity Checker de Ivanti pour échapper à la détection
  • Mécanismes de persistance : Installation de portes dérobées survivant aux redémarrages et mises à jour
  • Collecte de crédentiels : Exfiltration de mots de passe en clair et de hachages NTLM depuis Active Directory

Familles de malware déployées

Les chercheurs en sécurité ont identifié plusieurs outils de malware personnalisés :

ZIPLINE : Une porte dérobée passive qui écoute les paquets réseau spécialement conçus, permettant aux attaquants d’établir un contrôle sans créer de connexions réseau évidentes.

LIGHTWIRE : Une web shell offrant un accès persistant aux systèmes compromis via des processus web légitimes, rendant la détection beaucoup plus difficile.

WARPWIRE : Un collecteur de crédentiels conçu pour extraire le matériel d’authentification du cache de mots de passe de Ivanti, y compris les identifiants Active Directory, clés API et jetons de session.

THINSPOOL : Un composant de dropper responsable du déploiement de charges malveillantes supplémentaires et du maintien de la chaîne d’infection.

GLASSTOKEN et GIFTEDVISITOR : Web shells modifiant des composants JavaScript légitimes pour intercepter les identifiants utilisateur lors des tentatives d’authentification.

Méthodologie d’attaque

La séquence d’attaque typique observée par les intervenants en incident comprenait :

  1. Exploitation initiale : Enchaînement de CVE-2023-46805 et CVE-2024-21887 pour un accès non authentifié
  2. Exfiltration de base de données : Archivage du répertoire /runtime/mtmp/lmdb contenant des données de session, crédentiels et certificats
  3. Installation de web shell : Backdoor sur des fichiers CGI légitimes comme compcheck.cgi pour un accès persistant
  4. Manipulation des logs : Désactivation de la journalisation et suppression des logs existants
  5. Mouvement latéral : Utilisation des crédentiels récoltés pour pivoter dans les réseaux internes
  6. Persistance : Modification de fichiers système et de l’outil Integrity Checker pour maintenir l’accès

Réponse gouvernementale et directives d’urgence

Directive d’urgence CISA 24-01

Le 19 janvier 2024, la CISA a publié la Directive d’urgence 24-01, l’une des plus urgentes de ces dernières années. La directive exigeait que toutes les agences fédérales :

  • Déconnectent ou isolent immédiatement les appareils Ivanti affectés
  • Exécutent l’outil Integrity Checker externe sur tous les appareils
  • Appliquent les mitigations disponibles avant la date limite du 22 janvier 2024
  • Signalent toute indication de compromission à la CISA dans les 24 heures
  • Préparent des réinitialisations d’usine si une compromission est détectée

Conseils complémentaires et mises à jour

La CISA a publié plusieurs mises à jour complémentaires au fur et à mesure de l’avancement de l’enquête :

29 février 2024 : L’équipe de recherche de la CISA a publié des résultats révélant que l’outil Integrity Checker était insuffisant pour détecter les compromissions sophistiquées. Leurs tests en laboratoire ont montré que les acteurs malveillants pouvaient maintenir une persistance root même après des réinitialisations d’usine et des mises à jour d’appareils.

Principaux résultats de recherche : Les chercheurs de la CISA ont réussi à démontrer la chaîne d’attaque complète, en réalisant : - Exfiltration en clair des crédentiels administrateur de domaine - Persistance au niveau root survivant aux mesures de sécurité - Contournement des mécanismes de vérification d’intégrité - Reconnaissance interne à l’aide d’outils natifs

Analyse technique approfondie : Mécanismes d’exploitation

Détails techniques du contournement d’authentification

La vulnérabilité CVE-2023-46805 exploite des faiblesses de traversal de chemin dans la logique de routage de l’application web. Certains chemins dans l’application restent accessibles sans authentification, et les attaquants ont découvert que les séquences de traversal pouvaient rediriger les requêtes de ces chemins non authentifiés vers des points de terminaison administratifs authentifiés.

Exemple de pattern d’exploitation :

/api/v1/totp/user-backup-code/../../license/keys-status/

Cette URL conçue utilise la séquence ../ pour naviguer depuis un point d’accès non authentifié (/api/v1/totp/user-backup-code/) vers une fonction administrative authentifiée (/license/keys-status/), contournant ainsi le contrôle d’authentification.

Détails techniques de l’injection de commandes

CVE-2024-21887 permet l’injection de commandes via des requêtes spécialement conçues vers des points d’API vulnérables. Le paramètre node_name dans le point d’API de statut de licence ne sanitise pas correctement l’entrée, permettant aux attaquants d’injecter des commandes shell.

La vulnérabilité accepte des commandes dans des contraintes de caractères spécifiques (points et chiffres dans certaines variantes), mais des attaquants sophistiqués ont trouvé des moyens d’exécuter du code arbitraire malgré ces limitations en utilisant :

  • Des chaînes ROP (Return-Oriented Programming)
  • Des techniques d’encodage Unicode
  • Des méthodes alternatives d’exécution de commandes
  • L’exploitation d’utilitaires système intégrés

Exemple d’exploitation dans le monde réel

Les chercheurs en sécurité ont documenté des tentatives d’exploitation réelles montrant des attaquants établissant des shells inversés :

POST /api/v1/license/keys-status/../../malicious-path

La charge utile exécuterait des commandes pour : - Créer des connexions inversées avec netcat - Télécharger des outils supplémentaires depuis l’infrastructure de l’attaquant - Établir des implants Sliver pour le contrôle et la commande - Exécuter des scripts Perl pour récolter les crédentiels en cache “`

Détection et défis de réponse

Limitations de l’outil Integrity Checker

Ivanti a publié un outil Integrity Checker (ICT) pour aider les clients à identifier les systèmes compromis. Cependant, plusieurs sociétés de sécurité et la propre recherche de la CISA ont révélé d’importantes limitations :

  • Techniques d’évasion : Les attaquants sophistiqués ont modifié l’ICT lui-même pour produire de faux négatifs
  • Portée limitée : L’outil ne pouvait pas détecter toutes les variantes de malware et mécanismes de persistance
  • Version spécifique : Différentes versions d’appareils nécessitaient des méthodes de détection différentes
  • Fausse confiance : Les organisations se fiant uniquement à l’ICT ont manqué des compromissions sophistiquées

Indicateurs de compromission

Les chercheurs en sécurité ont identifié plusieurs IOCs pour la détection :

Modifications du système de fichiers : - /home/bin/compcheck.cgi modifié - /dana-na/auth/lastauthserverused.js modifié - Fichiers suspects dans /tmp et /runtime - Composants web modifiés dans /home/webserver/htdocs/

Indicateurs réseau : - Connexions sortantes inhabituelles vers l’infrastructure de l’attaquant - Trafic de balise (beacon) cohérent avec la communication C2 - Transferts de données volumineux depuis les emplacements de cache de crédentiels - Connexions SSL/TLS suspectes depuis l’appareil VPN

Anomalies dans les logs : - Fonctionnalité de journalisation désactivée - Fichiers logs manquants ou tronqués - Lacunes dans les logs d’authentification - Activité suspecte d’administrateur en dehors des heures normales

Stratégies de mitigation et bonnes pratiques

Actions immédiates requises

Les organisations utilisant Ivanti Connect Secure ou Policy Secure doivent :

  1. Appliquer un patch immédiatement : Mettre à jour vers les dernières versions corrigées (9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 ou ultérieures)

  2. Effectuer des réinitialisations d’usine : Avant d’appliquer les patches, réinitialiser les appareils en usine pour éliminer les mécanismes de persistance sophistiqués

  3. Réinitialiser les crédentiels : Changer tous les mots de passe, faire tourner les clés API, révoquer les certificats exposés

  4. Exécuter des outils de détection : Utiliser à la fois des outils internes et externes d’Integrity Checker, mais ne pas se fier uniquement à leurs résultats

  5. Chercher des IOCs : Rechercher des indicateurs de compromission dans le trafic réseau, les systèmes de fichiers et les logs

Améliorations de sécurité à long terme

Segmentation du réseau : Isoler les appareils VPN des ressources internes critiques en utilisant des principes zero-trust et des stratégies de micro-segmentation.

Surveillance renforcée : Mettre en place une journalisation complète et une intégration SIEM pour détecter un comportement anormal.

Authentification multi-facteurs : Imposer MFA pour tout accès VPN et fonctions administratives, même si CVE-2023-46805 a contourné MFA.

Solutions alternatives : Envisager des solutions VPN diverses pour éviter les points de défaillance uniques, ou évaluer le passage à des solutions cloud-native d’accès réseau zero-trust.

Gestion des vulnérabilités : Mettre en place des processus de déploiement rapide de correctifs et maintenir un inventaire de tous les systèmes exposés à Internet.

Leçons apprises et implications futures

Modèle de menace de la chaîne de vulnérabilités

Cet incident montre que la chaîne de vulnérabilités représente une menace critique pour l’infrastructure moderne. Les équipes de sécurité doivent évaluer non seulement les vulnérabilités individuelles, mais aussi les combinaisons qui créent des chemins d’attaque inattendus.

Dispositifs en périphérie comme cibles de grande valeur

Les appareils VPN et autres dispositifs en périphérie continuent d’attirer des acteurs malveillants sophistiqués car ils : - Se trouvent à la périphérie du réseau avec un accès aux réseaux externes et internes - Fonctionnent souvent avec des systèmes d’exploitation spécialisés avec peu d’outils de sécurité - Ne reçoivent pas toujours le même niveau de contrôle de sécurité que les serveurs traditionnels - Offrent des points de pivot idéaux pour le mouvement latéral

Le défi de l’écart de patch

La disponibilité retardée des correctifs a créé une fenêtre dangereuse où les organisations savaient qu’elles étaient vulnérables mais avaient peu d’options de mitigation. Ce scénario souligne l’importance de : - La transparence des fournisseurs et une réponse rapide - Des stratégies de mitigation provisoire - La capacité d’isolation du réseau - La préparation à la réponse aux incidents

Accélération de l’activité des acteurs étatiques

La suspicion d’implication d’acteurs étatiques montre que même les vulnérabilités zero-day peuvent être découvertes et stockées par des adversaires avancés longtemps avant leur divulgation publique. Les organisations doivent supposer que des attaquants sophistiqués possèdent déjà des connaissances sur des vulnérabilités non corrigées.

Vulnérabilités Ivanti subséquentes : un schéma qui se répète

CVE-2025-0282 et CVE-2025-0283 (janvier 2025)

Démontrant un schéma préoccupant, Ivanti a divulgué deux vulnérabilités critiques supplémentaires en janvier 2025. CVE-2025-0282, un dépassement de tampon basé sur la pile non authentifié, a été exploité activement par le même acteur UNC5221 à partir de mi-décembre 2024.

Cette exploitation ultérieure a révélé que : - Les acteurs malveillants continuent de cibler l’infrastructure Ivanti de manière agressive - Le même adversaire maintient un intérêt persistant pour ces produits - Les organisations font face à un risque continu nécessitant une vigilance constante

CVE-2025-22457 (avril 2025)

En avril 2025, une autre vulnérabilité critique est apparue. CVE-2025-22457, initialement jugée non exploitable, s’est révélée vulnérable grâce à des techniques d’exploitation sophistiquées découvertes par UNC5221. Cela souligne que l’hypothèse selon laquelle des vulnérabilités complexes avec des contraintes de caractères ne peuvent pas être exploitées par des adversaires déterminés est dangereuse.

Recommandations pour les organisations

Pour les clients Ivanti actuels

  1. Maintenir une vigilance sur les correctifs : Appliquer toutes les mises à jour de sécurité dès leur sortie
  2. Surveillance continue : Mettre en œuvre une surveillance 247 des appareils VPN pour détecter une activité anormale
  3. Audits réguliers : Effectuer des audits de sécurité et des tests de pénétration fréquents
  4. Planification de la réponse aux incidents : Développer et tester des procédures spécifiques en cas de compromission VPN
  5. Communication avec le fournisseur : Maintenir des canaux de communication actifs avec le support et les équipes de sécurité d’Ivanti

Pour les décideurs en sécurité

  1. Stratégie de diversification : Éviter une dépendance excessive à une seule solution fournisseur pour l’infrastructure critique
  2. Architecture zero-trust : Mettre en œuvre des principes zero-trust qui supposent une brèche et vérifient en continu
  3. Évaluation des risques : Évaluer régulièrement la posture de sécurité de tous les systèmes exposés à Internet
  4. Veille en threat intelligence : S’abonner à des flux de renseignement sur les menaces spécifiques aux fournisseurs d’infrastructure
  5. Exercices de simulation : Organiser régulièrement des exercices simulant une compromission de dispositifs en périphérie

Pour les chercheurs en sécurité

  1. Divulgation responsable : Continuer à coordonner avec les fournisseurs tout en assurant une sensibilisation publique
  2. Développement d’outils : Créer et partager des outils de détection et des IOC avec la communauté de sécurité
  3. Publication de recherches : Documenter les détails techniques pour faire avancer la connaissance collective
  4. Collaboration : Travailler avec d’autres chercheurs pour identifier les chaînes de vulnérabilités avant les attaquants

Conclusion

La chaîne de vulnérabilités CVE-2024-21887 et CVE-2023-46805 représente un tournant dans la sécurité des entreprises. La compromission de milliers d’appareils VPN à travers le monde montre que même les réseaux bien défendus restent vulnérables face à des attaques sophistiquées et multi-étapes.

L’incident renforce plusieurs principes de sécurité essentiels :

La défense en profondeur reste indispensable : Aucun contrôle de sécurité unique n’a empêché cette attaque. Les organisations ayant détecté la compromission disposaient généralement de plusieurs couches de surveillance et de détection.

La gestion des correctifs est non négociable : La fenêtre entre la divulgation et la correction a créé le plus grand risque. Les organisations avec des processus de déploiement rapide de correctifs ont minimisé leur exposition.

Le renseignement sur les menaces améliore la préparation : Les organisations suivant UNC5221 et des acteurs similaires étaient mieux préparées pour reconnaître et répondre aux indicateurs de compromission.

La sécurité des dispositifs en périphérie doit être une priorité : Les appareils VPN et l’infrastructure en périphérie méritent le même investissement en sécurité que les systèmes de centre de données traditionnels.

Alors que nous avançons en 2025, le modèle d’attaques sophistiquées contre l’infrastructure en périphérie continue. L’évolution des menaces, passant de CVE-2024-21887/CVE-2023-46805 à CVE-2025-0282 et CVE-2025-22457, montre que les organisations doivent maintenir une vigilance constante, des capacités de réponse rapides et des stratégies de sécurité diversifiées.

Le coup de KO à deux vulnérabilités délivré par cette chaîne d’exploitation sert de rappel brutal que les menaces cyber modernes nécessitent des postures de défense modernes. Les organisations qui considèrent la sécurité comme un processus continu plutôt qu’une mise en œuvre ponctuelle seront mieux préparées à affronter la tempête des attaques sophistiquées et persistantes ciblant l’infrastructure critique qui nous relie tous.

Ressources supplémentaires

  • Avis CISA AA24-060B : Guide complet sur l’exploitation des vulnérabilités Ivanti par les acteurs malveillants
  • Avis de sécurité Ivanti : Notifications officielles du fournisseur et informations sur les correctifs
  • Blog Volexity : Divulgation originale et analyse technique
  • Mandiant Intelligence : Attribution détaillée des acteurs et partage d’IOC
  • Tenable Research : Plugins de scan de vulnérabilités et méthodes de détection

Dernière mise à jour : décembre 2024

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Localhost tunnel guideExpose a local app securely with a public URL for QA, demos, mobile testing, and integrations.Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.

Related Topics

#ivanti vpn vulnerability, cve-2024-21887, cve-2023-46805, ivanti exploit chain, ivanti rce attack, ivanti connect secure breach, pulse secure successor vulnerability, unauthenticated rce ivanti, vpn appliance exploitation, perimeter vpn hack, early 2025 ivanti attacks, enterprise vpn compromise, network edge exploitation, vpn zero day chain, privilege escalation ivanti, authentication bypass ivanti, command injection ivanti, mass exploitation ivanti vpn, vpn appliance ransomware, ivanti incident response, critical infrastructure vpn breach, enterprise remote access vulnerability, vpn gateway exploit, network perimeter security failure, vpn device takeover, security appliance exploitation, vpn patch emergency, vulnerability chaining 2025, threat actors exploiting vpn, initial access via vpn, vpn exploitation campaign, cyberattack ivanti devices, government vpn breach, healthcare vpn exploitation, finance sector vpn attacks, rce without authentication, vpn firmware vulnerability, exploit development ivanti, edge security threat, supply chain access via vpn, vpn hardening best practices, vulnerability management vpn, zero trust vpn necessity, exposure management ivanti, security advisory ivanti, active exploitation vpn flaw, cisa advisory ivanti, vpn compromise aftermath, multi industry vpn breach, ivanti remediation steps, vpn exploitation mitigation

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles