CVE-2024-21893, une vulnérabilité de falsification de requête côté serveur affectant les passerelles VPN Ivanti Connect Secure et Policy Secure, est exploitée par des attaquants.
Son existence, ainsi que celle de CVE-2024-21888, une vulnérabilité d’escalade de privilèges affectant les mêmes versions d’Ivanti Connect Secure et Policy Secure, a été révélée par Ivanti à la fin du mois de janvier.
Selon Ivanti et Mandiant, CVE-2024-21893 est en fait une nouvelle technique pour contourner l’atténuation originale d’Ivanti pour CVE-2023-46805, une autre faille de contournement d’authentification, qui a été exploitée par les attaquants en conjonction avec CVE-2024-21887.
Ivanti et les organisations qui utilisent ses passerelles VPN Connect Secure ont connu un mois difficile.
CVE-2023-46805 et CVE-2024-21887 ont d’abord été exploitées et Ivanti n’avait qu’une solution temporaire à proposer, ce qui a poussé l’Agence américaine de cybersécurité et d’infrastructure à ordonner aux agences fédérales américaines de « déconnecter toutes les instances des produits Ivanti Connect Secure et Ivanti Policy Secure des réseaux des agences » d’ici le 2 février 2024.
Les quatre vulnérabilités ont depuis été corrigées par Ivanti.