Début 2024, Ivanti Connect Secure (anciennement Pulse Secure) s'est retrouvé au cœur de la pire crise de sécurité VPN depuis des années. Une combinaison de zero-days enchaînés, exploités massivement par des groupes APT avant même la publication des patches, a exposé des milliers d'entreprises dans le monde entier.
Ivanti Connect Secure : un VPN critique
Ivanti Connect Secure est l'une des solutions VPN SSL les plus déployées en entreprise. Sa présence en entrée de réseau, son accès aux ressources internes et sa gestion des identités en font une cible stratégique pour les attaquants cherchant un point d'entrée initial.
La chaîne de zero-days de janvier 2024
CVE-2023-46805 — Auth Bypass (CVSS 8.2)
Une faille de contournement d'authentification dans le composant web d'Ivanti ICS. En manipulant le chemin de la requête URL, un attaquant peut accéder à des ressources restreintes sans s'authentifier.
Versions affectées : ICS 9.x, 22.x
CVE-2024-21887 — Command Injection (CVSS 9.1)
Une injection de commandes dans des composants web d'Ivanti ICS. Combinée avec CVE-2023-46805, elle permet une exécution de code à distance non authentifiée.
Chaîne d'exploitation :
CVE-2023-46805 (bypass auth) → CVE-2024-21887 (RCE)
= Exécution de commandes arbitraires sans credentials
Ces deux CVE étaient exploitées comme zero-days depuis début décembre 2023 — plus d'un mois avant la divulgation publique par Ivanti le 10 janvier 2024.
CVE-2024-21893 — SSRF (CVSS 8.2)
Divulguée le 31 janvier 2024, une Server-Side Request Forgery dans le composant SAML d'Ivanti ICS permettant de contourner l'authentification. Exploitée comme zero-day simultanément à la divulgation.
CVE-2024-21888 — Privilege Escalation (CVSS 8.8)
Élévation de privilèges dans le composant web permettant d'obtenir les droits root.
Exploitation par des APT
La CISA et le FBI ont confirmé l'exploitation active par plusieurs groupes :
UNC5221 (attribué à la Chine) :
- Premier groupe à exploiter la chaîne en décembre 2023
- Déploiement du web shell GLASSTOKEN pour persistance
- Exfiltration de credentials et pivotement réseau
Autres groupes :
- Plusieurs autres APT non nommés ont rapidement développé leurs propres exploits après la divulgation publique
- Des gangs cybercriminels ont intégré les exploits dans des kits d'attaque automatisés
Secteurs ciblés
Gouvernements, défense, télécommunications, finance, santé — tous les secteurs utilisant Ivanti Connect Secure pour l'accès distant.
La réponse chaotique d'Ivanti
La gestion de la crise par Ivanti a été critiquée :
- Délais de patch : les premiers patches officiels n'ont été disponibles que le 22 janvier 2024, soit 12 jours après la divulgation — et seulement pour certaines versions
- Outil de vérification d'intégrité défaillant : l'outil fourni par Ivanti pour détecter les compromissions ne détectait pas certaines méthodes de persistance avancées
- Nouvelles CVE en cascade : les patches successifs révélaient de nouvelles vulnérabilités
La CISA a pris la décision inhabituelle d'ordonner aux agences fédérales américaines de déconnecter tous les appareils Ivanti le 19 février 2024.
Détecter une compromission
Comportements suspects à rechercher
# Connexions établies vers des IPs externes depuis le process du VPN
netstat -antp | grep ivanti
# Fichiers modifiés récemment dans les répertoires web
find /home/webserver/htdocs/ -newer /tmp/ref_date -name "*.cgi" -o -name "*.pl"
# Processus suspects lancés par le service VPN
ps aux | grep -E "curl|wget|python|perl|bash" | grep -v root
IOCs publiés
Mandiant et Volexity ont publié des IOCs détaillés incluant :
- Hashes des web shells GLASSTOKEN, CHAINLINE, FRAMESTING
- IPs C2 utilisées par UNC5221
- Patterns de requêtes HTTP anormaux dans les logs
Remédiation
1. Appliquer tous les patches disponibles
Ivanti a publié des patches progressifs. Vérifiez la page de sécurité officielle Ivanti.
2. Procédure de factory reset recommandée par la CISA
Pour les systèmes potentiellement compromis, Ivanti et la CISA recommandent un factory reset complet suivi d'un rebuild depuis une image propre — pas un simple patch.
3. Vérifier l'intégrité
# Utiliser l'outil ICT (Integrity Checker Tool) d'Ivanti
# Mais noter ses limitations — compléter avec une analyse forensique manuelle
4. Alternatives à envisager
Face à l'historique de vulnérabilités Ivanti, certaines organisations ont migré vers d'autres solutions VPN (Zscaler ZPA, Palo Alto GlobalProtect, Microsoft Always On VPN).
CVE Ivanti en 2024-2025 : la liste continue
Au-delà des VPN, d'autres produits Ivanti ont été touchés :
- CVE-2024-29824 (CVSS 9.6) : RCE dans Ivanti Endpoint Manager
- CVE-2024-7593 (CVSS 9.8) : Auth bypass dans Ivanti vTM
- CVE-2025-0282 (CVSS 9.0) : Stack overflow dans ICS, exploité en zero-day en janvier 2025
Ivanti est devenu l'un des éditeurs les plus ciblés de 2024-2025.
Surveillez toutes les CVE Ivanti sur cveo.tech — enregistrez vos appliances dans votre parc pour des alertes automatiques.