Back to blog
IvantiConnect SecureCVE-2024-21887VPNzero-dayAPT

Ivanti Connect Secure : les CVE critiques 2024 exploitées massivement

Ivanti Connect Secure a concentré les pires vulnérabilités de 2024. Analyse des CVE-2024-21887, CVE-2023-46805, CVE-2024-21893 et mesures de sécurisation.

April 23, 20264 min read

Début 2024, Ivanti Connect Secure (anciennement Pulse Secure) s'est retrouvé au cœur de la pire crise de sécurité VPN depuis des années. Une combinaison de zero-days enchaînés, exploités massivement par des groupes APT avant même la publication des patches, a exposé des milliers d'entreprises dans le monde entier.

Ivanti Connect Secure : un VPN critique

Ivanti Connect Secure est l'une des solutions VPN SSL les plus déployées en entreprise. Sa présence en entrée de réseau, son accès aux ressources internes et sa gestion des identités en font une cible stratégique pour les attaquants cherchant un point d'entrée initial.

La chaîne de zero-days de janvier 2024

CVE-2023-46805 — Auth Bypass (CVSS 8.2)

Une faille de contournement d'authentification dans le composant web d'Ivanti ICS. En manipulant le chemin de la requête URL, un attaquant peut accéder à des ressources restreintes sans s'authentifier.

Versions affectées : ICS 9.x, 22.x

CVE-2024-21887 — Command Injection (CVSS 9.1)

Une injection de commandes dans des composants web d'Ivanti ICS. Combinée avec CVE-2023-46805, elle permet une exécution de code à distance non authentifiée.

Chaîne d'exploitation :

CVE-2023-46805 (bypass auth) → CVE-2024-21887 (RCE)
= Exécution de commandes arbitraires sans credentials

Ces deux CVE étaient exploitées comme zero-days depuis début décembre 2023 — plus d'un mois avant la divulgation publique par Ivanti le 10 janvier 2024.

CVE-2024-21893 — SSRF (CVSS 8.2)

Divulguée le 31 janvier 2024, une Server-Side Request Forgery dans le composant SAML d'Ivanti ICS permettant de contourner l'authentification. Exploitée comme zero-day simultanément à la divulgation.

CVE-2024-21888 — Privilege Escalation (CVSS 8.8)

Élévation de privilèges dans le composant web permettant d'obtenir les droits root.

Exploitation par des APT

La CISA et le FBI ont confirmé l'exploitation active par plusieurs groupes :

UNC5221 (attribué à la Chine) :

  • Premier groupe à exploiter la chaîne en décembre 2023
  • Déploiement du web shell GLASSTOKEN pour persistance
  • Exfiltration de credentials et pivotement réseau

Autres groupes :

  • Plusieurs autres APT non nommés ont rapidement développé leurs propres exploits après la divulgation publique
  • Des gangs cybercriminels ont intégré les exploits dans des kits d'attaque automatisés

Secteurs ciblés

Gouvernements, défense, télécommunications, finance, santé — tous les secteurs utilisant Ivanti Connect Secure pour l'accès distant.

La réponse chaotique d'Ivanti

La gestion de la crise par Ivanti a été critiquée :

  1. Délais de patch : les premiers patches officiels n'ont été disponibles que le 22 janvier 2024, soit 12 jours après la divulgation — et seulement pour certaines versions
  2. Outil de vérification d'intégrité défaillant : l'outil fourni par Ivanti pour détecter les compromissions ne détectait pas certaines méthodes de persistance avancées
  3. Nouvelles CVE en cascade : les patches successifs révélaient de nouvelles vulnérabilités

La CISA a pris la décision inhabituelle d'ordonner aux agences fédérales américaines de déconnecter tous les appareils Ivanti le 19 février 2024.

Détecter une compromission

Comportements suspects à rechercher

# Connexions établies vers des IPs externes depuis le process du VPN
netstat -antp | grep ivanti

# Fichiers modifiés récemment dans les répertoires web
find /home/webserver/htdocs/ -newer /tmp/ref_date -name "*.cgi" -o -name "*.pl"

# Processus suspects lancés par le service VPN
ps aux | grep -E "curl|wget|python|perl|bash" | grep -v root

IOCs publiés

Mandiant et Volexity ont publié des IOCs détaillés incluant :

  • Hashes des web shells GLASSTOKEN, CHAINLINE, FRAMESTING
  • IPs C2 utilisées par UNC5221
  • Patterns de requêtes HTTP anormaux dans les logs

Remédiation

1. Appliquer tous les patches disponibles

Ivanti a publié des patches progressifs. Vérifiez la page de sécurité officielle Ivanti.

2. Procédure de factory reset recommandée par la CISA

Pour les systèmes potentiellement compromis, Ivanti et la CISA recommandent un factory reset complet suivi d'un rebuild depuis une image propre — pas un simple patch.

3. Vérifier l'intégrité

# Utiliser l'outil ICT (Integrity Checker Tool) d'Ivanti
# Mais noter ses limitations — compléter avec une analyse forensique manuelle

4. Alternatives à envisager

Face à l'historique de vulnérabilités Ivanti, certaines organisations ont migré vers d'autres solutions VPN (Zscaler ZPA, Palo Alto GlobalProtect, Microsoft Always On VPN).

CVE Ivanti en 2024-2025 : la liste continue

Au-delà des VPN, d'autres produits Ivanti ont été touchés :

  • CVE-2024-29824 (CVSS 9.6) : RCE dans Ivanti Endpoint Manager
  • CVE-2024-7593 (CVSS 9.8) : Auth bypass dans Ivanti vTM
  • CVE-2025-0282 (CVSS 9.0) : Stack overflow dans ICS, exploité en zero-day en janvier 2025

Ivanti est devenu l'un des éditeurs les plus ciblés de 2024-2025.

Surveillez toutes les CVE Ivanti sur cveo.tech — enregistrez vos appliances dans votre parc pour des alertes automatiques.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

Patch Management Guide: How to Handle CVEs Quickly and Effectively

Learn how to build a robust CVE patch management process: SLAs by severity, key steps, tools, and common mistakes to avoid to protect your infrastructure.

How to Monitor CVE Vulnerabilities Across Your IT Assets

A complete guide to tracking and managing CVEs affecting your IT infrastructure: methods, tools, and best practices for IT teams and security managers.

How to Conduct a CVE Security Audit of Your IT Infrastructure

Complete guide to conducting a CVE security audit: asset inventory, vulnerability scanning, CVSS scoring, remediation planning, and CISO best practices.