Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email [email protected]

Vulnérabilité critique dans les produits Ivanti

Score CVSS :
9
Date de publication :
4/4/2025
Date de dernière mise à jour :
4/4/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

  • Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6
  • Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
  • Pulse Connect Secure versions antérieures à 22.7R2.6
  • Zero Trust Access Gateways versions antérieures à 22.8R2.2

Prérequis

  • Accès réseau à l’équipement sur l’interface de production

Risques

  • Exécution de code à distance sur l’actif
  • Déploiement de malware sur l’actif
  • Accès au réseau interne de l’entreprise
  • Récupération de données d’authentification des utilisateurs
  • Altération des règles de contrôle d’accès dans réseau interne

Résumé

Ivanti a publié un avis de sécurité sur une vulnérabilité critique affectant les solutions ICS, IPS, Pulse Connect Secure et Zero Trust Access Gateways.

  • CVE-2025-22457 : Le 3 avril 2025, une faille a été identifiée, permettant à un attaquant non authentifié d'exécuter du code arbitraire à distance. La faille est exploitée depuis mi-mars dans des attaques rattachée à un groupe de cyberespionnage chinois, l’utilisant afin d’initialiser notamment une connexion persistante sur l’actif vulnérable.
    • Pour le moment, aucune preuve de concept de cette vulnérabilité n’est disponible publiquement.



L’utilisation de cette CVE permet une compromission des systèmes vulnérables, exposant les entreprises à des risques critiques de sécurité.


Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis par un des malwares associés à cette vague d’attaque, vous pouvez vérifier la présence de ces fichiers sur l’actif vulnérable ainsi que leur hash MD5 :

  • /tmp/.i - 4628a501088c31f53b5c9ddf6788e835 (In-memory dropper)
  • /tmp/.r - e5192258c27e712c7acf80303e68980b (Passive backdoor)
  • /bin/dsmain - 6e01ef1367ea81994578526b3bd331d6 (Kernel extractor & encryptor)
  • /lib/libdsupgrade.so - ce2b6a554ae46b5eb7d79ca5e7f440da (Implant utility)
  • /tmp/.liblogblock.so - 10659b392e7f5b30b375b94cae4fdca0 (Log tampering utility)


Remédiation :

Mettre à jour l’actif :

  • Ivanti Connect Secure en version 22.7R2.6 (released February 2025)
  • Pulse Connect Secure (EoS) en version 22.7R2.
  • Ivanti Policy Secure en version 22.7R1.4
  • ZTA Gateways en version 22.8R2.2

Références

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité