Contournement provisoire

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

Suite à la mise à jour de la documentation de l'éditeur ainsi que de la mise à disposition de nouveaux correctifs, la procédure à suivre a été déplacée dans la section Solution.

[Mise à jour du 31 janvier 2024] Ajout d'informations sur la nouvelle mesure de contournement

L'éditeur a publié une nouvelle mesure de contournement mitigation.release.20240126.5.xml [15]. Celle-ci permet de se prémunir des vulnérabilités CVE-2024-21888 et CVE-2024-21893 ainsi que des vulnérabilités CVE-2023-46805 et CVE-2024-21887.

Des correctifs sont présentés dans la section Solution, la mesure de contournement ne doit être appliquée que si les correctifs ne sont pas disponibles pour les produits concernés.

[Version du 23 Janvier 2024]

L’éditeur indique avoir connaissance d'exploitations publiques sur internet et une exploitation en masse des deux vulnérabilités à la suite. Tout équipement dont le contournement provisoire initial (import du fichier xml) n'aurait pas déjà été appliqué doit être considéré comme compromis.
Si les résultats de l’ICT indiquent une compromission (résultats non nuls aux étapes 8 et 9) ou si le contournement provisoire initial (import du fichier xml) n’a pas été réalisé, le CERT-FR recommande fortement de suivre la procédure documentée par l'éditeur [4] pour la remise en production d'un équipement compromis.

 

Recommandations supplémentaires du cert-fr

Du fait de la compromission des équipements et de la possibilité que l'attaquant ait injecté du code malveillant afin de récupérer des noms d'utilisateur et des mots de passe, le CERT-FR recommande de :

1. Réinitialiser tous les secrets (de façon générale) configurés sur les équipements affectés ;
   
2. Réinitialiser tous les secrets d’authentificationsusceptibles d’avoir transités sur les équipements affectés ;
   
3. Rechercher toutes traces de latéralisation sur le reste du système d’information.

Solution

[Mise à jour du 4 mars 2024] Ivanti recommande aux clients utilisant Ivanti Connect Secure ou Policy Secure en machine virtuelle de ne plus effectuer de remise en état d'usine mais plutôt repartir d'une image (template).

Procédure de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle :

1. Effectuer une sauvegarde de la configuration
2. Deployer une nouvelle machine à partir d'une image (template) du site de l'éditeur
3. Restaurer la configuration à partir de la sauvegarde
4. Effectuer une rotation des secrets

[Mise à jour du 15 février 2024] Publication de nouveaux correctifs sécurité. Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 pour les produits suivants :

• Ivanti Connect Secure versions 9.1R14.5, 9.1R15.3, 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.1R6.1, 22.2R4.1, 22.3R1.1, 22.4R1.1, 22.4R2.3, 22.5R1.2, 22.5R2.3 et 22.6R2.2
• Ivanti Policy Secure versions 9.1R16.3, 9.1R17.3, 9.1R18.4, 22.4R1.1, 22.5R1.2 et 22.6R1.1
• ZTA gateways versions 22.5R1.6, 22.6R1.5 et 22.6R1.7

[Mise à jour du 09 février 2024] Ajout de la vulnérabilité CVE-2024-22024

Si un patch a été appliqué avec les versions du 31/01 au 01/02, le CERT-FR recommande d'effectuer les actions suivantes avant l'application du correctif :

• Effectuer une sauvegarde
• Effectuer un scan de l'ICS externe
  • En cas de scan positif à l'ICS externe avant la mise à jour, la remise en état d'usine est nécessaire.

Ensuite, une fois le correctif appliqué, si une remise à la configuration d'usine (Factory Reset) a déjà été effectuée lors de l'application du correctif du 31 janvier ou 01 février, l'éditeur indique qu'une nouvelle remise à la configuration d'usine n'est pas nécessaire.

Enfin, pour les équipements vulnérables ne bénéficiant pas encore de correctif, l'éditeur recommande d'appliquer la mesure de contournement publiée le 31 janvier (fichier mitigation.release.20240126.5.xml).

[Mise à jour du 04 février 2024] Ajout de recommandations pour une configuration en grappe

Recommandation additionnelle pour les configurations en grappe (clusters) :

Se référer à la documentation de l’éditeur à la section « Additionnal Detail for Recovering Clusters »

https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US

[Mise à jour du 02 février 2024] L'éditeur continue de publier des versions correctives. Des correctifs sont désormais disponibles pour les versions Ivanti Connect Secure 22.5R2.2 et Ivanti Policy Secure 22.5R1.1

[Mise à jour du 01 février 2024] Fusion de la partie solution et contournement provisoire

L'éditeur a publié des correctifs pour Ivanti Connect Secure dans les versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 et 22.5R1.1 et pour ZTA dans la version 22.6R1.3 [0][15].

La procédure suivante, proposée par l'éditeur, peut être suivie quelle que soit la disponibilité du correctif pour l'équipement. En cas d'indisponibilité d'un correctif, le fichier de contournement doit être installé.

1. Sauvegarder la configuration de l’équipement ;
   
2. Effectuer une remise à la configuration de sortie d'usine (Factory Reset) ET procéder à une montée de version du micrologiciel (firmware) si le correctif est disponible :
   
   • la procédure est documentée dans le bulletin de l'éditeur [7],
   • Une montée de version va supprimer/écraser les fichiers ajoutés/modifiés par l’attaquant,
   • Les versions des firmwares peuvent être téléchargées sur la page de l'éditeur [8],
   • NOTE : Un retour arrière (rollback) sur la version compromise va rendre le boîtier vulnérable. Deux montées de version suppriment la version compromise puisqu’une seule version de rollback est conservée sur l’équipement ;
3. S'il n'est pas possible d'installer une version disposant du correctif, une fois la remise à la configuration de sortie d'usine terminée, effectuer une mise à jour vers la version installée précédemment ;
4. Restaurer la configuration de l’équipement à partir de la sauvegarde : [9] [10] ;
   • Si vous avez appliqué la mesure de contournement XML et que vous avez appliqué la version corrigée du micrologiciel, retirer le XML (How to Add and Remove XML files to your Ivanti Connect Secure and Ivanti Policy Secure Appliances : https://forums.ivanti.com/s/article/Download-Links-Related-to-CVE-2023-46805-and-CVE-2024-21887)
5. Révoquer et réémettre tous les certificats présents sur les équipements affectés :
   • Certificats utilisés pour les machines et/ou pour l’authentification utilisateur (coté client et serveur),
   • Certificats de signature de code et les certificats TLS pour l’interface exposée ;
6. Réinitialiser le mot de passe d'administration ;
   
7. Réinitialiser les clés d’API stockées sur l’équipement ;
   
8. Réinitialiser les mots de passe de tout compte local défini sur la passerelle, y compris les comptes de service utilisés dans la configuration liée aux serveurs d’authentification.
9. Réinitialiser les authentifications des serveurs de licence ;
   
10. Si votre micrologiciel n’est pas sur une version corrigée, Installer le fichier de contournement (fichier .xml) sur l’équipement sain. Sinon, l’installation du fichier xml n’est pas nécessaire.

Une fois le contournement installé, plus aucune configuration ne doit être poussée sur l'équipement jusqu'à l'application du correctif de sécurité. En effet, l'éditeur indique que cela entraîne le malfonctionnement de certains services internes ce qui conduit à rendre le contournement inefficace.

L'utilisation de mesures de contournement n'est pas nécessaire après la mise à jour de l'équipement vers une version non vulnérable. L'éditeur propose un outil de suppression de contournement si ce dernier a été appliqué avant la mise à jour.