News Cybersécurité

Ivanti VPN : Attaques continues installent des malwares sophistiqués

13 Jan

En un coup d’œil

Une vulnérabilité critique CVE-2025-0282 menace actuellement les utilisateurs des VPN Ivanti, exposant leurs dispositifs connectés à des attaques sophistiquées. Les acteurs malveillants exploitent cette faille pour installer des malwares complexes sans aucune authentification requise.

Le hardware maker Ivanti a confirmé la présence de cette vulnérabilité qui permet l’exécution de code malveillant sur les réseaux ciblés. Les hackers développent des techniques avancées pour contourner les systèmes de sécurité intégrés, créant une menace significative pour les infrastructures technologiques. Pour comprendre ces termes et d’autres concepts clés de la cybersécurité, explorez notre lexique cyber.

Les méthodes d’intrusion utilisées par ces cybercriminels révèlent une stratégie d’attaque particulièrement élaborée. Les malwares déployés peuvent compromettre totalement l’intégrité des systèmes, permettant un accès non autorisé aux réseaux professionnels et personnels.

Cette situation critique nécessite une vigilance immédiate des entreprises et des utilisateurs. Les organisations doivent rapidement évaluer leur exposition à cette vulnérabilité et mettre en place des stratégies de protection renforcées contre ces attaques ciblées.


Votre PME est-elle protégée contre les cyberattaques ?

 

Ongoing attacks on Ivanti VPNs install a ton of sneaky, well-written malware

Les attaques continues sur les VPN Ivanti représentent une menace critique pour les infrastructures réseau. Des hackers hautement qualifiés exploitent une vulnérabilité permettant un contrôle total sur les dispositifs connectés. Ces intrusions sophistiquées ciblent les systèmes de sécurité réseau avec une précision remarquable.

Le fabricant Ivanti a révélé la vulnérabilité CVE-2025-0282, activement exploitée contre certains clients. La faille permet aux attaquants d’exécuter un code malveillant sans authentification dans les VPN Connect Secure, Policy Secure & ZTA. Un correctif de sécurité a été publié avec la mise à niveau vers la version 22.7R2.5.

Malware sophistiqué et multifacette

Selon Mandiant, la vulnérabilité est exploitée depuis mi-décembre sur plusieurs dispositifs compromis. Les attaquants déploient deux packages de malwares inédits : DRYHOOK et PHASEJAM.

PHASEJAM, un script bash complexe, installe un shell web offrant un contrôle à distance privilégié. Il simule ingénieusement le processus de mise à jour sécurisé Connect Secure. Lorsqu’un administrateur tente une mise à niveau, le script affiche une progression visuelle convaincante simulant chaque étape.

Les attaquants dissimulent méticuleusement les traces de compromission en :

  • Supprimant les messages du noyau
  • Éliminant les packages d’informations de dépannage
  • Effaçant les données de base des plantages de processus
  • Nettoyant les logs d’événements d’application

Conclusion provisoire : vigilance et actions recommandées

Les groupes UNC5337 et UNC5221 illustrent l’évolution complexe des menaces cybernétiques. Les entreprises utilisant les VPN Ivanti doivent prioriser l’inspection détaillée de leurs dispositifs pour détecter toute compromission.

Les recommandations d’Ivanti, Mandiant, Rapid7, Tenable et de la CISA fournissent des directives cruciales pour protéger les infrastructures et prévenir de futures attaques.

Évolution et défis à venir

La propagation rapide de ces attaques sophistiquées souligne l’urgence de :

  • Renforcer les protocoles de sécurité
  • Former les professionnels de cybersécurité
  • Développer des solutions de défense adaptatives

Face à des tactiques de plus en plus ingénieuses, les entreprises doivent rester constamment vigilantes et collaborer étroitement avec les autorités compétentes.

Pour conclure

L’exploitation des vulnérabilités VPN Ivanti par les groupes UNC5337 et UNC5221 révèle une recrudescence préoccupante des menaces cybernétiques complexes. Face à cette évolution critique des cyberattaques, trois stratégies de défense essentielles doivent être immédiatement déployées : maintenir une vigilance constante, renforcer les protocoles de sécurité existants et implémenter des solutions de protection avancées.

La collaboration avec des experts en cybersécurité comme Power ITI devient désormais un impératif stratégique pour les organisations cherchant à protéger efficacement leurs infrastructures numériques. L’anticipation et la réactivité sont les clés pour contrer ces menaces sophistiquées qui ciblent les vulnérabilités des systèmes de communication.

Les entreprises doivent comprendre que chaque faille de sécurité représente un risque potentiel majeur. L’intervention proactive plutôt que réactive doit guider toute stratégie de cyberdéfense moderne, en intégrant des solutions technologiques et humaines complémentaires.

Source : https://arstechnica.com/security/2025/01/ivanti-vpn-users-are-getting-hacked-by-actors-exploiting-a-critical-vulnerability/

Newer MirrorFace : Cyber-espionnage ciblant le Japon depuis 2019 – Les enjeux sécuritaires révélés
Back to list
Older Prise de contrôle chinoise : Le département du Trésor visé par une cyberattaque mondiale