Le CERT-FR invite à mettre à jour Ivanti de toute urgence

Le CERT-FR a mis à jour, le 15 février 2024, son bulletin de sécurité du 11 janvier 2024 sur les vulnérabilité touchant deux logiciels de sécurité d’Ivanti, Connect Secure et Policy Secure Gateways. Ces deux outils, utilisés dans le monde entier, permettent la création et la gestion de canaux de communication privés. Le CERT-FR indique que des correctifs sont désormais disponibles pour toutes les versions des deux logiciels vulnérables, et appelle l’ensemble de leurs utilisateurs à les installer dès que possible.

Ivanti a en effet tardé à proposer des correctifs pour toutes les itérations de ces deux solutions. Début février 2024, la Commission européenne, l’ENISA (l’agence de cybersécurité européenne) et Europol avaient même rappelé à l’ordre la société pour ce retard.

Le CERT-FR s’inquiète par ailleurs que de nombreux utilisateurs de ces solutions n’aient pas encore appliqué de patchs, même ceux disponibles depuis plusieurs semaines. Des centaines de systèmes utilisant Ivanti seraient donc, en France, toujours vulnérables.

La société de cybersécurité Volexity avait révélé, le 10 janvier 2024, l’existence de deux failles zero-day dans Ivanti Connect Secure. Elles permettaient de voler des informations de configuration, de modifier et télécharger des fichiers, et même d’inverser le tunnel sécurisé du logiciel. En corrigeant dans l’urgence ces deux failles, Ivanti a généré une nouvelle vulnérabilité, désormais elle aussi patchée.