Ivanti, un fournisseur américain de logiciels, a été confronté à une série de vulnérabilités majeures affectant ses appliances de VPN professionnel, notamment Ivanti Connect Secure. Ces failles ont été exploitées dans une attaque de grande envergure touchant des milliers de clients répartis dans des secteurs critiques tels que l'aérospatial, la finance, la défense et les télécommunications à l'échelle mondiale. Les entreprises françaises ainsi que des firmes du Fortune 500 figurent parmi les victimes de cette cyberattaque. Bien qu'Ivanti n'ait pas été directement piraté, les experts en cybersécurité, notamment ceux de la firme Volexity, ont identifié des compromissions potentielles de données affectant au moins 1 700 entreprises. 

Dans cette interview, nous avons eu l'occasion de discuter avec Paul Jung, Responsable des Opérations CSIRT, chez Excellium Services, pour évaluer l'impact de ces vulnérabilités et discuter des mesures à prendre pour renforcer la sécurité des entreprises touchées.

Comment évaluez-vous la gravité des vulnérabilités d'Ivanti et son impact potentiel sur les entreprises touchées ?

Les vulnérabilités découvertes dans les VPN Ivanti représentent une menace sérieuse. Elles exposent les entreprises à des attaques potentielles, allant du déploiement de crypto-miners au piratage de données sensibles jusqu’a à l'exécution de ransomwares. Les entreprises utilisant ces Appliance doivent agir rapidement en appliquant des correctifs de sécurité et en renforçant leurs mesures de protection pour éviter des conséquences graves.

Quelles mesures les entreprises devraient-elles prendre pour mitiger les risques associés à ce type d'attaque ?

Pour atténuer les risques associés à ces attaques, les entreprises doivent mettre en œuvre plusieurs mesures cruciales. Tout d'abord, l'application rapide des correctifs et des mises à jour de sécurité est impérative, même si cela peut être très complexe.

En ce qui concerne la gestion de l'incident dans le cas spécifique d’Ivanti, plusieurs étapes sont à souligner. Le 11 janvier, une vulnérabilité critique a été rendue publique, suivie de la constatation le 16 janvier que la solution de contournement ne fonctionnait pas. Le 31 janvier, une nouvelle vulnérabilité critique a été révélée, accompagnant la sortie du correctif officiel. Enfin, le 9 février, d'autres vulnérabilités critiques ont été notifiées. Le fournisseur a finalement délivré un correctif après près de 20 jours, mais le contournement proposé s'est avéré insuffisant, permettant aux attaquants de le contourner.

Comme illustré ici, en plus d'une routine de mises à jour régulières, il est essentiel d'avoir un solide plan de réponse aux incidents en place. Dans le contexte d'un VPN, cela peut poser des défis, parfois nécessitant la coupure totale du service pendant les investigations ou la mise en place de solutions provisoires efficaces.

Dans le cas des vulnérabilités d'Ivanti, l'agence gouvernementale CISA – Cybersecurity and Infrastructure Security Agency –, chargée de renforcer la cybersécurité et la résilience des infrastructures critiques aux États-Unis, a pris une mesure significative en demandant, le 31 janvier, à toutes ses agences de désactiver les appliances Ivanti. C'est un scénario critique auquel il est crucial d'être préparé en matière de cybersécurité.

Pour réagir rapidement, une visibilité complète sur les actifs exposés est également critique. Une vulnérabilité accessible depuis l'extérieur n'aura évidemment pas la même priorité qu'une vulnérabilité grave située dans un périmètre restreint du système d'information. Cependant, avoir une vue claire des actifs exposés sur Internet peut être une tâche complexe, surtout pour les entreprises utilisant des services cloud.

Comment les organisations peuvent-elles mieux se préparer contre les failles zero-day à l'avenir ?

Il est illusoire de croire que toutes les failles pourront être corrigées en temps opportun, en particulier dans le cas des failles zero-day, qui ne sont connues que des attaquants. Ces vulnérabilités, souvent dépourvues de solutions immédiates, sont exploitées en silence pendant des mois avant d'être détectées.

Il convient de distinguer deux phases. Tout d'abord, une faille est exploitée silencieusement par un attaquant qui cherche à rester discret, étant le seul à connaître la vulnérabilité. Ensuite, lorsque la faille est découverte et rendue publique, sans correctif fabriquant, elle est exploitée massivement par de nombreux attaquants de façon industrielle.

De mon point de vue, la solution réside dans une approche multicouche de la sécurité. D'une part, la segmentation du réseau est cruciale pour limiter les dommages en cas d'intrusion et ralentir l'adversaire. Plus il est difficile de passer d'une couche horizontale (réseau) ou verticale (privilèges), plus l'attaquant génère du bruit. Une surveillance continue est essentielle pour détecter ce bruit. Trop souvent, comme nous le constatons dans le cas des attaques ransomware, des outils simples tels que les antivirus ont détecté les menaces, mais elles sont restées sans suite. L'efficacité des outils dépend surtout de la vigilance des équipes de sécurité qui surveillent les alertes.

En outre, dans le cas des failles zero-day, la collaboration avec d'autres entreprises et entités gouvernementales est cruciale. Le partage d'informations sur les menaces peut renforcer la posture de sécurité globale et aider les organisations à mieux réagir face aux failles zero-day.

Quel rôle les fournisseurs de logiciels comme Ivanti jouent-ils dans la protection de leurs clients contre ces attaques ?

Les fournisseurs de logiciels de sécurité, tels qu'Ivanti, jouent un rôle crucial dans la protection de leurs clients contre les attaques, car c’est leur cœur de métier. De fait, leur responsabilité devrait être engagée.

Il est essentiel que ces fournisseurs fournissent des mises à jour de sécurité de manière rapide et efficace, tout en notifiant rapidement leurs clients en cas de découvertes de vulnérabilités. Ils doivent également mettre à disposition des ressources pour aider les clients à déterminer s’ils sont compromis et leur permettre de réduire les risques liés à l'utilisation de leurs produits. Malheureusement, il arrive souvent que la divulgation de ces failles soit soumise à un embargo, laissant les clients, en particulier les plus petits, dans une situation difficile.

Bien que nous discutions actuellement d'Ivanti, ces principes s'appliquent à d'autres fournisseurs également. Il est parfois surprenant de constater la trivialité des vulnérabilités. Il est inacceptable que des solutions de sécurité sensibles telles que les pare-feu et les VPN présentent des failles triviales en production sans avoir été détectées tout au long de la chaîne de production du produit.