Une vulnérabilité critique dans le VPN Connect Secure d'Ivanti a continué d'avoir un impact sur les clients et les entreprises, le géant britannique des domaines Nominet confirmant une cyberattaque liée aux piratages d'Ivanti.

Nominet, qui gère les domaines .co.uk, a averti ses clients d'un « incident de sécurité en cours » qui faisait l'objet d'une enquête. CRN a rapporté que Nominet pensait que « le point d'entrée passait par un logiciel VPN tiers fourni par Ivanti qui permet à nos collaborateurs d'accéder aux systèmes à distance ». Cependant, à ce stade, aucune donnée client n’a été divulguée ou violée.

Connect Secure d'Ivanti est un VPN d'accès à distance conçu pour les travailleurs à distance dans les organisations de toutes tailles. Les meilleurs VPN professionnels ne présentent pas de vulnérabilités exploitables et Ivanti a publié des mises à jour pour tenter de résoudre le problème, tout en limitant l'utilisation de son VPN.

Comment les vulnérabilités d'Ivanti ont-elles été exploitées ?

Ivanti a averti pour la première fois que ses réseaux avaient été compromis le 8 janvier 2025. Deux vulnérabilités, CVE-2025-0282 et CVE-2025-0283, ont été détaillées et étiquetées comme vulnérabilités « jour zéro », ce qui les rend beaucoup plus difficiles à combattre.

La première vulnérabilité permettait aux pirates informatiques d'exécuter du code à distance sans authentification et a reçu un indice de gravité de 9,0/10,0. Ivanti a ajouté qu'un « nombre limité » d'appliances client avait été exploité. La deuxième vulnérabilité n’a pas été exploitée et a reçu un score de gravité de 7,0/10,0.

Un correctif a été rapidement disponible pour Connect Secure, les clients étant invités à exécuter une analyse à l'aide de l'outil de vérification d'intégrité (ICT) d'Ivanti pour voir s'ils avaient été compromis. S'ils recevaient un message « analyse informatique interne et externe propre », ils pourraient alors mettre à jour leur logiciel.

Écran graphique affichant un avertissement de détection de malware

Toute personne ayant reçu un message « montre des signes de compromission » a été invitée à réinitialiser les paramètres d'usine de l'appareil concerné avant de le remettre en ligne avec la nouvelle mise à jour. Ivanti vous recommande de sauvegarder la configuration des appliances avant de réinitialiser et de mettre à niveau le périphérique.

Les fonctionnalités Policy Secure et ZTA Gateways de la société ont également été affectées par le piratage, mais aucun des deux produits n'avait été exploité au moment de la rédaction de cet article. Ivanti a déclaré que des correctifs pour ces produits étaient en préparation et attendus pour le 21 janvier 2025.

Ce n'est pas la première fois qu'Ivanti est exploité par des vulnérabilités, ayant subi une série d'attaques tout au long de 2023 et 2024.

Selon les chercheurs de Mandiant, l’attaque pourrait avoir des liens avec un acteur menaçant basé en Chine et aurait pu commencer dès décembre 2024.

Les appareils ont été infectés par des logiciels malveillants de la famille « SPAWN », qui ont été liés à un groupe de piratage basé en Chine connu sous le nom d'UNC5337. Ce groupe pourrait également faire partie de la même opération qui a attaqué Ivanti l’année dernière. Ces attaques ont été commises par un groupe connu sous le nom d'UNC5221, et Mandiant a déclaré avec une « confiance modérée » que l'UNC5337 faisait partie de l'UNC5221.

Les VPN professionnels sont-ils toujours une bonne option ?

Oui, il existe de nombreux VPN professionnels qui protégeront votre entreprise et vos employés contre les cybercriminels, et il existe certaines fonctionnalités clés à surveiller.

Les entreprises de toute taille peuvent être menacées par les pirates informatiques, mais les petites et moyennes entreprises sont les plus attractives. Vous avez donc besoin d’un VPN professionnel capable de sécuriser toutes vos données et doté d’un cryptage à toute épreuve.

En termes d'adresse IP, vous aurez besoin d'une adresse IP statique afin que toute personne ayant besoin d'accéder à des données protégées puisse l'obtenir. Beaucoup utilisent des serveurs basés sur le cloud, cryptant tous vos fichiers et données en un seul endroit pour un accès facile.

Il vaut également la peine de rechercher un VPN professionnel doté de fonctionnalités de sécurité supplémentaires. Cela peut réduire considérablement la quantité de matériel et de logiciels supplémentaires que vous devez acheter, ce qui rend un VPN professionnel plus rentable.

Clause de non-responsabilité

Nous testons et examinons les services VPN dans le contexte d'utilisations récréatives légales. Par exemple : 1. Accéder à un service depuis un autre pays (sous réserve des termes et conditions de ce service). 2. Protéger votre sécurité en ligne et renforcer votre confidentialité en ligne à l’étranger. Nous ne soutenons ni ne tolérons l'utilisation illégale ou malveillante des services VPN. La consommation de contenu piraté payant n'est ni approuvée ni approuvée par Future Publishing.