À la suite de l’apparition de deux problèmes de sécurité sur de l’équipement d’Ivanti, la firme de sécurité belge Nviso découvre deux nouvelles portes dérobées susceptibles de donner un accès à long terme à des pirates.
Nviso a détecté les portes dérobées lors d’un contrôle chez un client, une grande organisation non nommément citée, et ce, suite à une découverte récente de la société de sécurité Mandiant. Cette dernière avait en effet fait part fin janvier de deux failles (CVE-2023-46805 et CVE 2024-21887) sur de l’équipement d’Ivanti. Le client de Nviso souhaitait dès lors faire vérifier minutieusement ce dernier, à savoir une solution SSLVPN, une passerelle permettant entre autres de fournir aux utilisateurs un accès à distance sécurisé au réseau interne.
‘Le client avait décelé quelque chose de bizarre et nous a alors appelé pour effectuer un contrôle’, explique Michel Coene, ‘partner’ chez Nviso et responsable des activités de réaction aux incidents. ‘Nous avons ainsi découvert deux nouvelles portes dérobées.’
SparkCockpit et SparkTar
Coene précise cependant qu’une porte dérobée ne peut être assimilée à une faille. ‘Des portes dérobées sont souvent installées dans un système via une faille. Il peut s’agir, par exemple, d’un simple ‘web shell’ (code encoquillé, ndlr). Mais dans ce cas-ci, il s’agissait de portes dérobées assez sophistiquées, dont on n’avait pas encore parlé publiquement.’
De telles portes dérobées, appelées dans ce cas SparkCockpit et SparkTar, sont surtout intéressantes à long terme. La faille force l’entrée, alors que la porte dérobée doit garantir que l’accès reste ensuite possible pour des personnes malveillantes.
‘Une faille est découverte et corrigée tôt ou tard. Mais même avec un système corrigé, un hacker peut conserver l’accès via une porte dérobée’, explique Coene. Cette porte dérobée fonctionne comme une sorte d’application (bien cachée) sur Ivanti.
Renforcer les règles de détection
La solution pour découvrir ces portes dérobées réside dans les règles de détection que vous élaborez en tant qu’administrateur réseau. Nviso a maintenant publié à ce propos un article de blog et un rapport technique expliquant comment procéder. ‘Nous avons élaboré à présent des règles spécifiquement pour les deux nouvelles portes dérobées et nous conseillons à chacun de les appliquer à son appareil et à sa zone réseau. L’une d’elles peut également survivre à une réinitialisation d’usine. Cela signifie donc qu’une simple réinitialisation de votre appareil ne garantit pas que le problème a été résolu. Pour ceux qui le font virtuellement, il est recommandé d’exporter la configuration et de configurer un nouvel appareil.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici