Deux vulnérabilités Ivanti sont exploitées par les opérateurs du botnet Mirai

La chaîne d’attaque permet d’abord un accès non autorisé, puis une injection de commandes ciblant les passerelles Ivanti Connect Secure et Policy Secure. L’exploitation successive des deux failles par les attaquants a pour objectif de distribuer des charges utiles comme le maliciel Mirai, afin d’enrichir encore le réseau de nouvelles machines compromises. Le botnet Mirai, ainsi que ses nombreux variants, sont utilisés par ses opérateurs et affiliés pour des attaques par Déni de Service Distribué (DDoS) et des campagnes d’hameçonnage par courriels à grande échelle.

Les attaquants ciblent spécifiquement le point de terminaison API /api/v1/license/key-status/ pour injecter la charge utile. L’attaque est ensuite menée avec la requête GET /api/v1/totp/user-backup-code/ qui permet de déployer le malware. 

Cette séquence de commande tente d’effacer des fichiers, de définir les autorisations, et de télécharger un script depuis un serveur distant. Ce dernier est exécuté et conçu pour télécharger le maliciel Mirai depuis l’adresse 192.3.152[.]183 contrôlée par les attaquants.

Afin de prévenir l’exploitation de ses périphériques Ivanti, l’éditeur a publié des mises à jour ainsi qu’une solution de contournement dans les bulletins des deux vulnérabilités. Il est également recommandé de réinitialiser ses appliances en paramétrage usine avant d’appliquer les mises à jour, et d’exécuter le script Integrity Checker Tool afin de diagnostiquer des appareils compromis.

En cas de compromission, Ivanti a mis en place un processus de réinitialisation. Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.

Le CERT-FR a également publié un bulletin d’alerte et émis des recommandations supplémentaires. Le CERT-Santé a émis deux bulletins d’alerte dès le 11 janvier 2024.