Mis à jour pour inclure les informations concernant l'avis du 29 février de CISA, qui comprend des résultats techniques observés dans le laboratoire de CISA, qui n'ont pas été observés dans la nature ni considérés comme possibles dans un environnement client réel. CISA et les autres agences gouvernementales recommandent aux défenseurs d'exécuter l'outil Integrity Checker Tool (ICT) externe mis à jour d'Ivanti, publié le 27 février.

Dans le cadre de notre enquête exhaustive sur l'attaque récente contre nos clients, Ivanti et Mandiant ont publié aujourd'hui des résultats concernant l'évolution des tactiques, techniques et procédures (TTP) des acteurs de menace. Ces résultats ont été identifiés lors de l'analyse en cours des vulnérabilités précédemment divulguées affectant les passerelles Ivanti Connect Secure, Policy Secure et ZTA, et incluent des techniques de persistance potentielles que nous surveillons, même si à ce jour elles n'ont pas été déployées avec succès dans la nature.

Important : il ne s'agit pas d'une nouvelle CVE, et nous et nos partenaires en sécurité et gouvernementaux ne sommes pas au courant d'instances de persistance réussie d'acteurs de menace suite à la mise en œuvre des mises à jour de sécurité et des réinitialisations d'usine. Cependant, compte tenu de la nature agressive de l'attaque, nous publions des informations pertinentes aux clients afin qu'ils puissent prendre des mesures pour surveiller et se protéger davantage contre cette menace hautement sophistiquée.

Ivanti publie une nouvelle amélioration de l'outil Integrity Checker Tool (ICT) externe, qui fournit une visibilité supplémentaire sur l'appliance d'un client et tous les fichiers présents sur le système. L'ICT externe amélioré ne nécessitera plus de support pour déchiffrer les snapshots d'un client. Lorsque de nouveaux fichiers et/ou des fichiers modifiés sont trouvés, l'ICT externe fournira désormais aux clients un snapshot non chiffré pour leur propre examen. Les instructions pour consulter le contenu du snapshot se trouvent dans cet article de la base de connaissances (connexion requise), et la référence pour interpréter les snapshots se trouve dans cet article. Pour rappel, l'ICT est un instantané des fichiers présents sur l'appareil. Il est capable de détecter les modifications de ces binaires pour mettre en évidence les indicateurs de compromission. Il s'agit d'une couche de sécurité supplémentaire pour nos clients et il est toujours destiné à être utilisé en conjonction avec des outils de surveillance continue.

Ivanti a également mis à jour ses recommandations pour les appliances virtuelles dans l'article de la base de connaissances. Ces nouvelles instructions s'appliquent uniquement aux clients utilisant des appliances virtuelles qui n'ont pas précédemment effectué une réinitialisation d'usine réussie, ni déployé une nouvelle build, ni patché leur appliance.

Ivanti recommande aux clients de prendre les mesures suivantes :

  • Pour les clients qui ont déjà effectué une réinitialisation d'usine réussie et patché leur(s) appliance(s), la seule action consiste à continuer à exécuter l'ICT interne et externe mis à jour, ainsi que la surveillance continue qui doit être mise à jour pour refléter ces techniques en évolution.
  • Pour les clients utilisant des appliances virtuelles qui n'ont pas effectué de réinitialisation d'usine, ni déployé une nouvelle build, ni patché leur appliance, Ivanti recommande maintenant de déployer une nouvelle build d'Ivanti Connect Secure, plutôt que d'exécuter une réinitialisation d'usine. La raison est que les réinitialisations d'usine des appliances virtuelles n'ont pas été systématiquement réussies, et nous avons donc mis à jour les instructions recommandées.
  • Encore une fois, si vous avez précédemment suivi les instructions d'Ivanti et obtenu un scan ICT propre, vous n'avez pas besoin d'effectuer de réinitialisations d'usine supplémentaires ou de déployer une nouvelle build (pour les appliances virtuelles).

Les clients peuvent accéder aux informations de remédiation les plus récentes sur ce blog et dans l'article de la base de connaissances, le blog FAQ et l'article de la base de connaissances sur la récupération. Nous continuerons à mettre à jour activement ces documents au fur et à mesure que de nouvelles informations seront disponibles.

Si un client rencontre des problèmes lors de la remédiation des vulnérabilités précédemment divulguées, notre équipe de support reste disponible pour l'assister.

Les clients Ivanti doivent consulter le blog publié par Mandiant décrivant les TTP supplémentaires et les observations concernant la tentative infructueuse d'obtenir une persistance par réinitialisation d'usine qu'ils ont observée.

Mise à jour : CISA et d'autres agences gouvernementales ont publié un avis conjoint le 29 février compilant les recherches antérieures, y compris les résultats publiés par Ivanti et Mandiant le 27 février et une technique de persistance potentielle développée dans le laboratoire technique de CISA. Il est important de noter que cette découverte basée en laboratoire n'a pas été observée par CISA, Ivanti ou Mandiant dans la nature, et sur la base des preuves présentées et d'une analyse plus approfondie par notre équipe, nous pensons que si un acteur de menace devait tenter cela à distance, il perdrait la connexion à Ivanti Connect Secure et n'obtiendrait pas de persistance dans un environnement client réel. De plus, les clients qui ont patché et exécuté une réinitialisation d'usine réussie (matériel) ou déployé une nouvelle build (virtuelle) ne seraient pas à risque de l'activité décrite dans le rapport de CISA.

Ivanti, Mandiant et CISA recommandent d'utiliser l'ICT externe mis à jour pour aider à détecter les vecteurs d'attaque connus et détecter les fichiers supplémentaires ou les fichiers modifiés. Comme Ivanti l'a souligné, il s'agit d'un outil de sécurité utile et informatif dans votre arsenal, pour compléter d'autres outils de sécurité et de surveillance. Notre recommandation reste que vous devriez utiliser l'ICT mis à jour en conjonction avec une surveillance continue.

Nous continuons à examiner intensément les risques et les techniques évolutives des acteurs de menace. Lorsque de nouvelles découvertes sont faites, nous travaillerons rapidement pour fournir des informations dans le meilleur intérêt de nos clients, et publier des correctifs ou améliorer notre ICT s'il est approprié de le faire. Nous restons activement engagés avec nos partenaires en sécurité et gouvernementaux à cette fin.

Nous prenons très au sérieux la sécurité de nos clients et nous nous engageons à appliquer des processus et protocoles de sécurité améliorés afin que nos produits restent sécurisés face aux menaces de plus en plus agressives auxquelles nos clients et leurs industries sont confrontés.

FAQ clés

Y a-t-il des mesures à prendre par les clients suite aux avis du 27 février et du 29 février ?

Pour les clients qui ont déjà effectué une réinitialisation d'usine réussie (matériel) ou déployé une nouvelle build (virtuelle) et patché leur(s) appliance(s), la seule action consiste à continuer à suivre les directives d'Ivanti et de Mandiant pour exécuter l'ICT interne et externe mis à jour, ainsi que la surveillance continue qui doit être mise à jour pour refléter ces techniques en évolution.

Ivanti et nos partenaires en sécurité ne sont pas au courant d'instances de persistance réussie d'acteurs de menace suite à la mise en œuvre des mises à jour de sécurité et des réinitialisations d'usine (matériel)/nouvelle build (virtuelle) recommandées par Ivanti.

Pour les clients qui n'ont pas encore patché, ils doivent immédiatement suivre les instructions fournies dans l'article de la base de connaissances.

Encore une fois, si vous avez précédemment suivi les instructions d'Ivanti et continuez à avoir un scan ICT propre, vous n'avez pas besoin d'effectuer de réinitialisations d'usine supplémentaires ou de déployer une nouvelle build (pour les appliances virtuelles).

L'outil Integrity Checker Tool est-il un outil efficace pour les clients ?

Oui, Ivanti, Mandiant et CISA recommandent d'utiliser l'ICT externe mis à jour qui aide à détecter les vecteurs d'attaque connus et détecter les fichiers modifiés et les fichiers supplémentaires et doit être utilisé en conjonction avec une surveillance continue. L'ICT est efficace pour déterminer si quelque chose de malveillant a été laissé derrière sur la base de vecteurs d'attaque connus.

Comme Ivanti l'a souligné, l'ICT est un outil de sécurité important et informatif dans votre arsenal, à utiliser aux côtés d'autres outils. La surveillance continue reste importante pour détecter les menaces potentielles, car l'ICT est intentionnellement conçu pour être un instantané de l'état actuel de l'appliance et ne peut pas nécessairement détecter l'activité des acteurs de menace si l'appliance a été remis dans un état propre. D'autres outils de sécurité doivent être utilisés pour surveiller les modifications apportées entre les scans ainsi que les logiciels malveillants et autres indicateurs de compromission (IoC).

L'ICT est conçu pour se concentrer spécifiquement sur l'activité de menace connue qui est déployée par les acteurs de menace dans la nature. Cela maximise les résultats significatifs pour les clients et minimise les faux positifs, et a été validé par Mandiant dans leur blog comme un outil efficace. D'autres outils de surveillance de sécurité standard sont conçus pour détecter d'autres activités.

Y a-t-il une nouvelle vulnérabilité ou compromission qui n'a pas été divulguée précédemment ?

Non, il n'y a pas de nouvelle CVE. Ivanti et nos partenaires en sécurité et gouvernementaux ne sont pas au courant d'instances de persistance réussie d'acteurs de menace suite à la mise en œuvre des mises à jour de sécurité et des réinitialisations d'usine.

La nouvelle activité décrite par Ivanti, Mandiant et CISA concerne des tentatives limitées observées pour maintenir la persistance par réinitialisation d'usine qui ont été infructueuses, et une technique potentielle basée en laboratoire développée par CISA qu'ils pensent pouvoir être utilisée pour tenter la persistance. Aucune de ces techniques n'a été utilisée avec succès dans la nature.

Il est important de noter que, sur la base des preuves présentées et d'une analyse plus approfondie par notre équipe, nous pensons que la technique identifiée par CISA dans son laboratoire technique ne permettrait pas à un acteur de menace de réussir à obtenir une persistance non détectée dans un environnement client réel.

Pourquoi Ivanti a-t-il conclu que la technique identifiée par CISA dans son laboratoire technique ne pourrait pas permettre une persistance réussie dans un environnement client réel ?

Ivanti et ses experts externes en sécurité ont évalué les résultats techniques de CISA et ont déterminé que si elle était déployée sur un environnement client réel non patché, la connexion serait perdue avec Ivanti Connect Secure, donc elle ne pourrait pas être effectuée à distance. Nous pensons donc que ce risque de persistance n'est pas valide dans un déploiement client réel.

Si la persistance a échoué, pourquoi Ivanti et Mandiant ont-ils publié ces informations ?

Nous avons publié des informations pertinentes le 27 février concernant les techniques évolutives des acteurs de menace que nous surveillons, afin que les défenseurs puissent prendre des mesures pour se protéger davantage contre une attaque hautement sophistiquée et agressive. Les clients peuvent intégrer ces informations dans leur propre surveillance continue, même si à ce jour ces techniques n'ont pas été déployées avec succès dans la nature.

Nous nous engageons à fournir des informations et des outils pour nous assurer que nos clients sont protégés et restons également engagés avec nos partenaires en sécurité et gouvernementaux à cette fin.

CISA recommande-t-elle aux clients Ivanti de débrancher leurs machines ?

CISA n'a jamais demandé aux organisations de retirer définitivement les systèmes Ivanti de la production. La directive originale de CISA aux agences fédérales a été mal interprétée par les médias qui n'ont rapporté que la première étape des instructions. CISA a apporté des mises à jour à sa directive pour corriger cela, puis a de nouveau mis à jour le 9 février pour clarifier absolument que vous pouvez rallumer le produit après le patching.

L'avis du 29 février de CISA compile les recherches antérieures, ainsi qu'une technique basée en laboratoire qu'ils pensent pouvoir être utilisée pour tenter la persistance et conseille aux clients d'être conscients des risques. Il est important de noter que nous ne pensons pas que l'activité décrite dans le rapport de CISA puisse être effectuée à distance.

Pourquoi le produit Ivanti Connect Secure contient-il des versions de packages open source plus anciennes ?

Le matériel de la version 9.x du produit n'a pas suffisamment de CPU pour exécuter un kernel Linux plus récent et en tant que tel, les limitations du kernel nécessitent l'utilisation des packages open source plus anciens. Le produit n'est pas vulnérable à ces packages open source plus anciens car nous avons rétro-porté les correctifs de sécurité. Dans le cas du rapport CISA, le numéro de version n'est pas une véritable indication du package binaire ou s'il est vulnérable, car le rétro-portage des correctifs de sécurité ne modifie pas le numéro de version du package binaire.

Toutes les versions prises en charge d'Ivanti Connect Secure sont certifiées par The National Information Assurance Partnership (NIAP) et le sont depuis environ 20 ans. Une validation que les produits répondent aux exigences de sécurité pour l'approvisionnement du système de sécurité nationale des États-Unis.

La version 22.x plus récente d'Ivanti Connect Secure est construite sur un nouveau kernel Linux qui nécessite un CPU plus puissant et en tant que tel, nous avons introduit une nouvelle plateforme, l'ISA, qui ne contient pas les anciennes versions de packages open source et est capable d'améliorations de sécurité supplémentaires.

Nous avons officiellement publié une notification de fin de vie pour le produit matériel et logiciel 9.x en juillet 2022. Nous travaillons activement avec nos clients pour actualiser leurs appliances vers 22.x ou migrer vers le cloud avec Ivanti Neurons for Zero Trust Access.

Tout le code présent dans les produits Ivanti, y compris le code open source plus ancien de 9.x, est clairement décrit dans nos attributions et SBOM, qui sont disponibles dans la documentation produit disponible sur ivanti.com.

Vous pouvez lire les réponses à toutes les questions les plus couramment posées ici.