Et un de plus. Dans un avis de sécurité publié sur son site le 8 janvier, la société de logiciels de sécurité et de gestion informatique Ivanti a averti que des pirates avaient exploité une vulnérabilité d’exécution de code à distance dans certaines de ses solutions VPN. Il s’agit d’une faille de sécurité de 0 jour, ce qui signifie qu’elle a commencé à être exploitée avant d’être découverte ou avant de recevoir un correctif.
Et « nombre limité d’appareils » piraté, selon Ivanti
La vulnérabilité exploitée, référencée CVE-2025-282 et présentant un score de gravité CVSS de 9,0, est un bug critique de dépassement de tampon basé sur la pile. La société américaine précise qu’un « nombre limité d’appareils Ivanti Connect Secure » étaient exploités par cette faille au moment de la divulgation, Connect Secure étant l’une des solutions VPN SSL les plus utilisées dans les entreprises. La vulnérabilité peut également être exploitée sans authentification sur ses passerelles Policy Secure et Neurons for ZTA (Zero Trust Access).
Ivanti a également découvert une deuxième vulnérabilité (CVE-2025-283), de même nature mais moins grave (CVSS 7.0), que l’entreprise n’a pas découverte. “connaissance de l’absence d’exploitation”. Alors que l’exploitation réussie de la première faille de sécurité “pourrait conduire à l’exécution de code à distance” pour ensuite installer un malware, la deuxième vulnérabilité pourrait permettre à un « attaquant local authentifié pour élever ses privilèges ». L’éditeur de logiciels a depuis confirmé qu’un patch était disponible pour les produits Connect Secure, mais qu’il faudrait attendre le 21 janvier pour un premier patch sur Policy Secure et Neurons pour ZTA.
Le CERT-FR, organisme d’alerte et de réponse aux attaques informatiques dépendant de l’Anssi, a publié le 9 janvier un bulletin sur ces vulnérabilités, donnant la marche à suivre pour les entreprises concernées. Elle dit que cette faille de sécurité persiste « activement exploité ».
Mandiant soupçonne un groupe lié à la Chine
La société d’analyse des menaces Mandiant a indiqué hier avoir observé des pirates informatiques exploitant cette faille 0-day dans les produits Connect Secure depuis mi-décembre 2024. Si elle ne peut, à ce jour, attribuer ces attaques à un acteur précis, elle explique avoir observé le déploiement de malware dans ces produits par UNC5337 et UNC5221. Ces deux acteurs sont des groupes d’espionnage liés à la Chine.
Ces nouvelles failles de sécurité s’ajoutent à la longue liste de vulnérabilités dans les produits Ivanti identifiées ces derniers mois, affectant à la fois les trois solutions citées ci-dessus ainsi que son outil de surveillance des points finaux (EPMM) et son outil de gestion des appareils Avalanche. Au début de l’année dernière, la CISA, l’agence américaine de cybersécurité, a été piratée suite à l’exploitation de failles de sécurité dans Connect et Policy Secure. L’autorité a alors donné 48 heures aux 102 agences fédérales du pays pour déconnecter tous les appareils Ivanti de leurs réseaux, avant de les reconfigurer.
L’Anssi veille au grain
L’Anssi avait également déclaré au début de l’année dernière qu’une centaine d’organisations en France avaient été ciblées par une cyberattaque après l’exploitation de failles dans les produits Ivanti. Heureusement, peu de mouvements latéraux ont été observés, les cybercriminels cherchant principalement à s’introduire dans les systèmes des entreprises ciblées.
Related News :