Une vulnérabilité critique impactant les logiciels d’Ivanti Connect Secure, Neurons for Zero Trust Access et Policy Secure identifiée par la référence CVE-2025-0282, vient de voir le jour. Elle obtient un score CVSS v3.1 de 9,0.
Il convient de porter une attention particulière à cette vulnérabilité CVE-2025-0282, car des preuves de concept sont disponibles publiquement.
Le vecteur initial de la vulnérabilité Ivanti
La vulnérabilité permet à un attaquant non-authentifié de déclencher une exécution arbitraire de code.
Les détails techniques de la vulnérabilité Ivanti
Le service ‘web’ opère une mauvaise vérification de taille sur une chaîne de caractères reçu d’un utilisateur, ce qui peut entraîner un débordement sur la pile et la prise de contrôle du service par un attaquant externe.
La modélisation de l'attaque avec MITRE ATT&CK
MITRE ATT&CK
- T1190 (Exploit Public-Facing Application)
Les moyens de protections avec Stormshield Network Security face à la vulnérabilité Ivanti
Protection face à la CVE-2025-0282
Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2025-0282 via son alarme :
- http:53 : Protocole HTTP invalide
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Recommandations face à la vulnérabilité Ivanti
Il est ainsi fortement recommandé de mettre à jour vos logiciels Ivanti :
- Connect Secure : 22.7R2.5 ou supérieure
- Neurons for Zero Trust Access : 22.8R2 ou supérieure
- Policy Secure : 22.7R1.3 ou supérieure
