Vulnérabilité critique dans Ivanti Neurons for ITSM

Produits concernés

Ivanti Neurons for ITSM (on-premise uniquement) : versions 2023.4, 2024.2 et 2024.3

Prérequis

Accès à l’interface web de l’équipement
Version vulnérable du produit concerné

Risques

Exécution de code à distance sur l’actif
Accès au réseau interne de l’entreprise

Résumé

Le 13 mai 2025, Ivanti publie un bulletin de vulnérabilité concernant une vulnérabilité critique, la CVE-2025-22462 (score CVSS 9.8).

Cette faille, identifiée dans les installations on premise d’Ivanti Neurons for ITSM, permet à un attaquant non authentifié d’obtenir un accès administrateur aux logiciels en versions vulnérables.
Pour le moment, aucune preuve de concept de cette vulnérabilité n’est disponible publiquement et Ivanti n’a pas connaissance de son exploitation par des groupes d’attaquants.

L’utilisation de cette CVE permet une compromission des systèmes vulnérables, exposant les entreprises à des risques critiques de sécurité.

Login Sécurité souhaite rappeler les bonnes pratiques de sécurité. Les interfaces de management ne doivent, dans la mesure du possible, ne pas être exposées sur internet.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

‍

Solutions

Remédiation :

Appliquer le patch de sécurité de mai pour les versions impactées :

- 2023.4 May 2025 Security Patch

- 2024.2 May 2025 Security Patch

- 2024.3 May 2025 Security Patch

Mitigation :

Ivanti déclare que les utilisateurs qui ont suivi leur guide pour sécuriser le site web IIS et restreint l’accès à un nombre limité d’adresses IP et de noms de domaine ont fortement réduit le risque lié à cette vulnérabilité

Références

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !

Oups ! Une erreur est survenue lors de l'envoi du formulaire.

Bulletins de Sécurité