Deux nouvelles vulnérabilités critiques impactant Ivanti Connect Secure (anciennement Pulse Connect Secure), identifiées sous les CVE-2023-46805 et CVE-2024-21887, sont activement exploitées. Elles obtiennent respectivement un score CVSS v3.1 de 8,2 et 9,1. L’équipe Stormshield Customer Security Lab détaille les protections fournies par Stormshield.
Le contexte des vulnérabilités Ivanti
Les vulnérabilités CVE-2023-46805 et CVE-2024-21887 impactent les versions 9.X et 22.X d’Ivanti Connect Secure.
La CVE-2023-46805 permet de contourner le mécanisme d’authentification du serveur web tandis que la CVE-2024-21887 permet d’exécuter des commandes shell à distance de manière authentifiée. En combinant les deux vulnérabilités Ivanti, un cyber-attaquant peut exécuter du code à distance sans authentification.
Les détails techniques des vulnérabilités Ivanti
La vulnérabilité CVE-2023-46805
Certains chemins de l’application web sont accessibles sans authentification. L’un de ces chemins est vulnérable à un traversée de répertoire (path-traversal), permettant d’appeler des chemins authentifiés depuis ce chemin non authentifié. Cette traversée de répertoire (path-traversal) vient d’une comparaison d’URL dont le chemin n’est pas normalisé.
La vulnérabilité CVE-2024-21887
Deux chemins de l’application web sont vulnérables à une injection de commande système. Les données fournies par l’utilisateur sont utilisées dans la fonction python « subprocess.Popen(shell=True) » sans filtrage. On peut donc injecter une valeur «;commande;» et exécuter des commandes shell.
Les moyens de protections Stormshield face aux vulnérabilités Ivanti
Protection avec Stormshield Network Security
Les firewalls SNS détectent et bloquent par défaut l’exploitation de la CVE-2023-46805 via son analyse protocolaire :
- http:80 : Chemin avec référence supérieure
Et les signatures IPS suivantes détectent et bloquent l’exploitation de la CVE-2024-21887 :
- http:client.97 : Exploitation d'une exécution de code à distance sur Ivanti Connect Secure (CVE-2024-21887)
- http:url:decoded.423 : Exploitation d'une exécution de code à distance sur Ivanti Connect Secure (CVE-2024-21887)
Afin que ces protections soient efficaces, il est nécessaire que le flux soit déchiffré.
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Recommandations face aux vulnérabilités Ivanti
À la rédaction de cet article, aucun patch n’est disponible. Une mitigation est disponible sur le site d’Ivanti, cependant une modification de configuration efface la mitigation. Nous recommandons donc d’appliquer la mitigation, de ne plus réaliser de modification de configuration et de mettre à jour dès que le patch sera disponible.