Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
Qu'est-ce que Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ?
Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)Deux zero-days enchaines dans les boitiers VPN Ivanti Connect Secure, exploites par des acteurs d'espionnage soupconnes d'etre chinois fin 2023 et debut 2024.
En janvier 2024, Ivanti et Mandiant ont divulgue deux zero-days dans Ivanti Connect Secure et Policy Secure : CVE-2023-46805, un contournement d'authentification dans le composant web, et CVE-2024-21887, une injection de commande dans les composants d'administration. Chaines, ils permettent l'execution distante de code sans authentification sur l'appliance. Mandiant a attribue les premieres exploitations a UNC5221, un cluster d'espionnage suppose chinois, qui a deploye des webshells et des voleurs d'identifiants. La CISA et d'autres agences ont publie des directives d'urgence imposant la deconnexion des appareils touches. La parade combine patches en plusieurs etapes, outil de verification d'integrite, retour usine des equipements compromis et rotation de toutes les credentials et certificats associes.
● Exemples
- 01
UNC5221 deploie le webshell BUSHWALK sur une Ivanti VPN vulnerable et pivote sur le reseau interne.
- 02
Une agence federale americaine deconnecte ses boitiers Ivanti et les reconstruit a partir de medias sains apres la directive CISA.
● Questions fréquentes
Qu'est-ce que Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ?
Deux zero-days enchaines dans les boitiers VPN Ivanti Connect Secure, exploites par des acteurs d'espionnage soupconnes d'etre chinois fin 2023 et debut 2024. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ?
Deux zero-days enchaines dans les boitiers VPN Ivanti Connect Secure, exploites par des acteurs d'espionnage soupconnes d'etre chinois fin 2023 et debut 2024.
Comment fonctionne Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ?
En janvier 2024, Ivanti et Mandiant ont divulgue deux zero-days dans Ivanti Connect Secure et Policy Secure : CVE-2023-46805, un contournement d'authentification dans le composant web, et CVE-2024-21887, une injection de commande dans les composants d'administration. Chaines, ils permettent l'execution distante de code sans authentification sur l'appliance. Mandiant a attribue les premieres exploitations a UNC5221, un cluster d'espionnage suppose chinois, qui a deploye des webshells et des voleurs d'identifiants. La CISA et d'autres agences ont publie des directives d'urgence imposant la deconnexion des appareils touches. La parade combine patches en plusieurs etapes, outil de verification d'integrite, retour usine des equipements compromis et rotation de toutes les credentials et certificats associes.
Comment se défendre contre Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ?
Les défenses contre Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ?
Noms alternatifs courants : Ivanti Connect Secure RCE, Chaine CVE-2024-21887.
● Termes liés
- attacks№ 202
Injection de commandes
Attaque où une entrée utilisateur est transmise sans assainissement à un shell système, amenant l'application à exécuter des commandes fournies par l'attaquant.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.