S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 avril 2025
N° CERTFR-2025-ALE-003
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Vulnérabilité dans les produits Ivanti

Gestion du document

Référence CERTFR-2025-ALE-003
Titre [MàJ] Vulnérabilité dans les produits Ivanti
Date de la première version03 avril 2025
Date de la dernière version11 avril 2025
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6
  • Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
  • Pulse Connect Secure versions antérieures à 22.7R2.6
  • Zero Trust Access Gateways versions antérieures à 22.8R2.2

L'éditeur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure. L'éditeur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 décembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version à jour.

Résumé

[Mise à jour du 11 avril 2025]

Le CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer une exécution de code arbitraire à distance.

[Mise à jour du 04 avril 2025]

Le CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer un arrêt du serveur Web.

[Publication initiale]

Une vulnérabilité critique de type débordement de pile a été découverte dans Pulse Connect Secure, Ivanti Connect Secure (ICS), Policy Secure (IPS) et Zero Trust Access (ZTA) Gateways. Cette vulnérabilité, d'identifiant CVE-2025-22457, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Ivanti indique que cette vulnérabilité est activement exploitée [1].

La mise à jour corrective pour les ICS est disponible depuis le 11 février 2025. Dans son rapport [2], Mandiant indique avoir constaté des traces d'exploitation depuis la mi-mars 2025. Il peut cependant être utile d'effectuer une recherche de compromission même si les correctifs ont été préalablement installés.

À titre de précision, la vulnérabilité CVE-2025-22457 est distincte de la vulnérabilité CVE-2025-0282, qui affecte sensiblement les mêmes produits, et qui a fait l'objet de l'alerte CERTFR-2025-ALE-001.

Solutions

[Mise à jour du 04 avril 2025]

Les recommandations suivantes sont listées par ordre de priorité.

  • isoler totalement la machine concernée du réseau, vis-à-vis d'Internet comme du réseau interne, afin de limiter les risques de latéralisation ;
  • en cas d'utilisation d'une appliance virtuelle, réaliser un instantané du système de fichier et de la mémoire vive ;
  • si possible, éviter d'éteindre la machine afin de conserver les traces nécessaires aux investigations ;
  • mettre sous séquestre les journaux collectés ;
  • procéder à l’analyse des serveurs afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par Mandiant [2] ;
  • l'éditeur recommande d'exécuter les versions externes de son script Integrity Check Tool (ICT) ;
  • en cas de compromission :
    • signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les bons réflexes en cas d'intrusion sur votre système d'information [3] ;
    • effectuer une remise à la configuration de sortie d'usine (Factory Reset) [4] ;
      • le CERT-FR rappelle que certaines menaces peuvent persister à une réinitialisation, ce dont l'utilisation dans les contextes sensibles doit tenir compte ;
    • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
    • considérer les secrets stockés sur l'équipement, ou y ayant transité en clair, comme compromis. Les actions suivantes sont dès lors nécessaires :
      • réinitialiser les secrets liés au LDAP ou à l'Active Directory, si configuré.
        • le CERT-FR a connaissance de latéralisation utilisant ces secrets.
      • révoquer et réémettre tous les certificats présents sur les équipements affectés :
        • certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur) ;
        • certificats de signature de code et les certificats TLS pour l’interface exposée.
      • réinitialiser le mot de passe d'administration ;
      • réinitialiser les clés d’API stockées sur l’équipement ;
      • réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification ;
      • révoquer l'ensemble des moyens d'authentification (tickets Kerberos...) des comptes de services utilisés.
      • réinitialiser les authentifications des serveurs de licence.
    • Une fois la machine isolée et les collectes réalisées, conduire une recherche de latéralisation sur votre système d'information depuis l'équipement compromis, notamment :
      • en recherchant les indicateurs de compromission décrits plus bas dans cette alerte ;
      • en cherchant les connexions ou tentatives de connexion vers Internet depuis l'équipement ;
      • puis en cherchant ces adresses IP de destination pour vérifier si d’autres machines ont tenté une connexion.
  • En cas d'absence de compromission :
    • procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible ;
    • si aucune mise à jour correctrice n'est disponible, l'équipement est à risque de compromission; contactez le service d'assistance Ivanti et, dans la mesure du possible, déconnectez l'équipement d'Internet.
    • surveiller l'activité des comptes et des services liés à l'équipement, notamment le compte de service LDAP ou Active Directory, si celui a été configuré.

Documentation

Gestion détaillée du document

    le 03 avril 2025
    Version initiale
    le 04 avril 2025
    Ajout des recommandations
    le 11 avril 2025
    Ajout de la connaissance d'un POC