L’entreprise de sécurité GreyNoise observe une augmentation significative du nombre de scans sur les systèmes VPN Ivanti. Cela pourrait indiquer qu’une nouvelle vague d’attaques est imminente.
Les entreprises utilisant Ivanti Connect Secure et Pulse Secure feraient bien d’être particulièrement vigilantes dans les prochains temps. Les solutions VPN d’Ivanti ont été la cible de multiples attaques cette année et l’année dernière, et selon l’entreprise de sécurité GreyNoise, il y a des indications de nouveaux problèmes. L’entreprise observe une activité nettement accrue sur les endpoints Ivanti.
Le 18 avril, l’entreprise a détecté une activité plus de neuf fois supérieure à la normale. Plus de 230 adresses IP uniques ont alors tenté d’accéder à ces systèmes, alors que normalement moins de 30 adresses IP par jour sont comptabilisées. Sur une période de quatre-vingt-dix jours, cela représente 1.0004 adresses IP. Les cibles des scans sont le plus souvent des entreprises des États-Unis, du Royaume-Uni et d’Allemagne.
En reconnaissance
Selon GreyNoise, cette activité accrue pourrait indiquer une reconnaissance coordonnée en préparation d’attaques potentielles. Les systèmes Ivanti Connect Secure sont depuis longtemps une cible populaire en raison de leur rôle dans l’accès à distance aux réseaux d’entreprise. Bien qu’aucune vulnérabilité spécifique (CVE) ne soit actuellement associée à ces scans, comme c’était le cas au début de l’année 2024, GreyNoise souligne que des schémas similaires ont précédé la découverte de nouvelles failles de sécurité par le passé.
GreyNoise conseille aux équipes de sécurité de vérifier les journaux pour détecter les tentatives suspectes, de surveiller les connexions depuis des adresses IP inconnues, de bloquer les adresses IP suspectes connues et de mettre à jour les systèmes ICS/IPS dès que possible avec les dernières mises à jour. Via The Register, Ivanti conseille elle-même de s’assurer que tous les appareils sont mis à niveau vers des versions supportées.
Pas si sûr
Ivanti Connect Secure n’a pas toujours garanti une connexion sécurisée par le passé. Plusieurs failles ont provoqué des attaques mondiales au début de l’année 2024. Ivanti a été vivement critiquée pour sa gestion des vulnérabilités. Les correctifs sont arrivés tardivement.
Le PDG a dû faire son mea culpa publiquement et promettre que l’entreprise ferait mieux à l’avenir. Néanmoins, elle n’a pas pu éviter qu’une nouvelle faille ne fasse surface au début de cette année. Ivanti et ses clients peuvent se passer d’un nouveau débâcle en matière de sécurité comme de la peste.