Alertes de sécurité Ivanti CVE-2023-46805 et CVE-2024-21887 : la réponse des produits Stormshield

Publié le : 24 01 2024 | Modifié le : 15 02 2024

Auteur : Stormshield Customer Security Lab

2 minutes

Deux nouvelles vulnérabilités critiques impactant Ivanti Connect Secure (anciennement Pulse Connect Secure), identifiées sous les CVE-2023-46805 et CVE-2024-21887, sont activement exploitées. Elles obtiennent respectivement un score CVSS v3.1 de 8,2 et 9,1. L’équipe Stormshield Customer Security Lab détaille les protections fournies par Stormshield.

 

Le contexte des vulnérabilités Ivanti

Les vulnérabilités CVE-2023-46805 et CVE-2024-21887 impactent les versions 9.X et 22.X d’Ivanti Connect Secure.

La CVE-2023-46805 permet de contourner le mécanisme d’authentification du serveur web tandis que la CVE-2024-21887 permet d’exécuter des commandes shell à distance de manière authentifiée. En combinant les deux vulnérabilités Ivanti, un cyber-attaquant peut exécuter du code à distance sans authentification.

 

Les détails techniques des vulnérabilités Ivanti

La vulnérabilité CVE-2023-46805

Certains chemins de l’application web sont accessibles sans authentification. L’un de ces chemins est vulnérable à un traversée de répertoire (path-traversal), permettant d’appeler des chemins authentifiés depuis ce chemin non authentifié. Cette traversée de répertoire (path-traversal) vient d’une comparaison d’URL dont le chemin n’est pas normalisé.

La vulnérabilité CVE-2024-21887

Deux chemins de l’application web sont vulnérables à une injection de commande système. Les données fournies par l’utilisateur sont utilisées dans la fonction python « subprocess.Popen(shell=True) » sans filtrage. On peut donc injecter une valeur «;commande;» et exécuter des commandes shell.

 

Les moyens de protections Stormshield face aux vulnérabilités Ivanti

Protection avec Stormshield Network Security

Les firewalls SNS détectent et bloquent par défaut l’exploitation de la CVE-2023-46805 via son analyse protocolaire :

  • http:80 : Chemin avec référence supérieure

Et les signatures IPS suivantes détectent et bloquent l’exploitation de la CVE-2024-21887 :

  • http:client.97 : Exploitation d'une exécution de code à distance sur Ivanti Connect Secure (CVE-2024-21887)
  • http:url:decoded.423 : Exploitation d'une exécution de code à distance sur Ivanti Connect Secure (CVE-2024-21887)

Afin que ces protections soient efficaces, il est nécessaire que le flux soit déchiffré.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Recommandations face aux vulnérabilités Ivanti

À la rédaction de cet article, aucun patch n’est disponible. Une mitigation est disponible sur le site d’Ivanti, cependant une modification de configuration efface la mitigation. Nous recommandons donc d’appliquer la mitigation, de ne plus réaliser de modification de configuration et de mettre à jour dès que le patch sera disponible.

Tags :

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Cyber Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Stormshield Customer Security Lab
Derniers articles

Voir tous les articles de Alertes

En savoir plus