{"id":488761,"date":"2024-01-24T09:05:26","date_gmt":"2024-01-24T08:05:26","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=488761"},"modified":"2024-02-15T13:15:11","modified_gmt":"2024-02-15T12:15:11","slug":"alerte-securite-ivanti-cve-2023-46805-cve-2024-21887","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-ivanti-cve-2023-46805-cve-2024-21887\/","title":{"rendered":"Alertes de s\u00e9curit\u00e9 Ivanti CVE-2023-46805 et CVE-2024-21887 : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

Deux nouvelles vuln\u00e9rabilit\u00e9s critiques impactant Ivanti Connect Secure (anciennement Pulse Connect Secure), identifi\u00e9es sous les CVE-2023-46805 et CVE-2024-21887, sont activement exploit\u00e9es. Elles obtiennent respectivement un score CVSS v3.1 de 8,2 et 9,1. L\u2019\u00e9quipe Stormshield Customer Security Lab d\u00e9taille les protections fournies par Stormshield.<\/strong><\/p>\n

 <\/p>\n

Le contexte des vuln\u00e9rabilit\u00e9s Ivanti<\/h2>\n

Les vuln\u00e9rabilit\u00e9s CVE-2023-46805<\/a> et CVE-2024-21887<\/a> impactent les versions 9.X et 22.X d\u2019Ivanti Connect Secure.<\/p>\n

La CVE-2023-46805 permet de contourner le m\u00e9canisme d\u2019authentification du serveur web tandis que la CVE-2024-21887 permet d\u2019ex\u00e9cuter des commandes shell \u00e0 distance de mani\u00e8re authentifi\u00e9e. En combinant les deux vuln\u00e9rabilit\u00e9s Ivanti, un cyber-attaquant peut ex\u00e9cuter du code \u00e0 distance sans authentification.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques des vuln\u00e9rabilit\u00e9s Ivanti<\/h2>\n

La vuln\u00e9rabilit\u00e9 CVE-2023-46805<\/h3>\n

Certains chemins de l\u2019application web sont accessibles sans authentification. L\u2019un de ces chemins est vuln\u00e9rable \u00e0 un travers\u00e9e de r\u00e9pertoire (path-traversal<\/em>), permettant d\u2019appeler des chemins authentifi\u00e9s depuis ce chemin non authentifi\u00e9. Cette travers\u00e9e de r\u00e9pertoire (path-traversal<\/em>) vient d\u2019une comparaison d\u2019URL dont le chemin n\u2019est pas normalis\u00e9.<\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2024-21887<\/h3>\n

Deux chemins de l\u2019application web sont vuln\u00e9rables \u00e0 une injection de commande syst\u00e8me. Les donn\u00e9es fournies par l\u2019utilisateur sont utilis\u00e9es dans la fonction python \u00ab\u00a0subprocess.Popen(shell=True)<\/em>\u00a0\u00bb sans filtrage. On peut donc injecter une valeur \u00ab;commande;<\/em>\u00bb et ex\u00e9cuter des commandes shell.<\/p>\n

 <\/p>\n

Les moyens de protections Stormshield face aux vuln\u00e9rabilit\u00e9s Ivanti<\/h2>\n

Protection avec Stormshield Network Security<\/h3>\n

Les firewalls SNS d\u00e9tectent et bloquent par d\u00e9faut l\u2019exploitation de la CVE-2023-46805 via son analyse protocolaire :<\/p>\n