Ce VPN infecté propage un malware dans le monde entier, supprimez-le vite !

Ce VPN infecté propage un malware dans le monde entier, supprimez-le vite !

Les experts avertissent les utilisateurs que les acteurs malveillants exploitent massivement les vulnérabilités Zero-Day dans le VPN Ivanti Connect Secure et Policy Secure. Avec des milliers d’instances compromises, ces failles déclenchent aujourd’hui une crise mondiale de cybersécurité.

Ivanti : deux vulnérabilités massivement exploitées

La semaine dernière, la société américaine de logiciels Ivanti a signalé que les acteurs malveillants exploitent deux vulnérabilités Zero-Day. Il s’agit des failles suivies sous CVE-2023-46805 dans Connect Secure (ICS) et CVE-2024-21887) dans Policy Secure.

« Si CVE-2024-21887 est utilisé conjointement avec CVE-2023-46805, l’exploitation ne nécessite pas d’authentification et permet à un acteur malveillant de créer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système », explique Ivanti dans son avis de sécurité.

Volexity, une société américaine de cybersécurité, a également observé des acteurs malveillants exploitant activement les deux vulnérabilités. Les acteurs malveillants exploitent les vulnérabilités et tentent activement d’exploiter les appareils, expliquent ses chercheurs.

Les chinois derrière cette campagne d’attaque ?

De nombreuses sociétés américaines de sécurité suivent ces vulnérabilités et attribuent la campagne initiale à un groupe d’État-nation chinois inconnu. Censys évoque une campagne d’espionnage. GreyNoise pour sa part auraient découvert que les attaquants déploient également des cryptomineurs et des malwares sur des appareils Ivanti vulnérables.

Ce VPN infecté propage un malware dans le monde entier, supprimez-le vite !

Selon, les attaquants ciblent des entreprises aux quatres coins du monde, notamment aux États-Unis et en Europe. Les cibles incluent à la fois des PME, de grandes entreprises (dont plusieurs sociétés du Fortune 500), des organisations et des agences gouvernementales.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) déclare aussi avoir observé une « exploitation généralisée et active » des vulnérabilités Ivanti. Si elles sont exploitées ensemble, cela pourrait conduire à une compromission totale des réseaux, s’inquiète Eric Goldstein, de la CISA.

VPN Ivanti : appliquer des mesures d’urgence

Ivanti a publié une atténuation temporaire via un fichier pouvant être importé dans le logiciel concerné. Selon les informations communiquées par Volexity, les correctifs finaux seront disponibles à partir du 19 février.

La CISA de son côté a commencé à communiquer avec les agences fédérales immédiatement après l’annonce d’Ivanti. Elle a notamment organisé plusieurs appels avec les centres d’opérations de sécurité. Lorsque ce correctif sera publié, les agences devraient suivre les instructions supplémentaires de la CISA

Jusqu’à présent, la campagne aurait touché au moins 1700 appareils le 16 janvier et jusqu’à 2 100 appareils dans le monde au début de cette semaine, selon la société de cybersécurité Volexity

Protégez l’ensemble de vos appareils des malwares et autres menaces avec un logiciel de protection performant choisi parmi notre top des meilleurs antivirus.

Se protéger avec BitDefender

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *