La société de logiciels américaine alerte sur l’exploitation par des pirates informatiques d’une faille de sécurité dans plusieurs de ses solutions VPN. En s’infiltrant dans les réseaux d’entreprise, les cybercriminels peuvent installer des logiciels malveillants. Assez vulnérables, les produits d’Ivanti sont régulièrement ciblés par les attaquants.
Et une de plus. Dans un avis de sécurité publié sur son site le 8 janvier, la société de logiciels de sécurité et de gestion informatique Ivanti a averti que des pirates avaient exploité une vulnérabilité d’exécution de code à distance dans certaines de ses solutions VPN. Il s’agit d’une faille de sécurité 0-day, ce qui signifie qu’elle a commencé à être exploitée avant d’avoir été découverte ou avant d’avoir reçu un correctif.
Un “nombre limité d’appareils” piratés, selon Ivanti
La vulnérabilité exploitée, référencée CVE-2025-282 et présentant un score de sévérité CVSS de 9.0, est une erreur critique de débordement de mémoire tampon (“stack-based buffer overflow bug”). La société américaine précise qu’un “nombre limité d’appareils Ivanti Connect Secure” étaient exploités par cette faille au moment de la divulgation, Connect Secure étant l’une des solutions VPN SSL les plus utilisées en entreprise. La vulnérabilité peut également être exploitée sans authentification sur ses passerelles Policy Secure et Neurons for ZTA (Zero Trust Access).
Ivanti a également découvert une deuxième vulnérabilité (CVE-2025-283), de même nature mais moins grave (CVSS 7.0), dont la société n’a “connaissance d’aucune exploitation”. Alors que l’exploitation réussie de la première faille de sécurité “pourrait conduire à l’exécution de code à distance” pour ensuite installer des logiciels malveillants, la deuxième vulnérabilité pourrait permettre à un “attaquant local authentifié d’élever ses privilèges”. L’éditeur de logiciels a depuis confirmé qu’un correctif était disponible pour les produits Connect Secure, mais qu’il fallait attendre le 21 janvier pour un premier patch sur Policy Secure et Neurons for ZTA.
Le CERT-FR, organisation d’alerte et de réponse aux attaques informatiques dépendante de l’Anssi, a publié le 9 janvier un bulletin sur ces vulnérabilités, en donnant la marche à suivre pour les entreprises concernées. Elle affirme que cette faille de sécurité reste “activement exploitée”.
Mandiant soupçonne un groupe lié à la Chine
La société d’analyse des menaces Mandiant a déclaré hier qu’elle avait observé des pirates exploitant cette faille 0-day dans les produits Connect Secure depuis la mi-décembre 2024. Si elle ne peut, pour l’heure, attribuer ces attaques à un acteur spécifique, elle explique avoir observé le déploiement de malware dans ces produits par UNC5337 et UNC5221. Ces deux acteurs sont des groupes d’espionnage liés à la Chine.
Ces nouvelles failles de sécurité s’ajoutent à la longue liste des vulnérabilités dans les produits Ivanti recensées ces derniers mois, touchant aussi bien les trois solutions mentionnées ci-dessus que son outil de surveillance des terminaux (EPMM) et son outil de gestion des périphériques Avalanche. En début d’année dernière, la CISA, agence américaine de cybersécurité, avait été piratée suite à l’exploitation de failles de sécurité sur Connect et Policy Secure. L’autorité avait alors donné 48 heures aux 102 agences fédérales du pays pour déconnecter tous les appareils Ivanti de leurs réseaux, avant de les reconfigurer.
