Numéro : AL25-004
Date : 4 avril 2025
Audience
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 3 avril 2025, Ivanti a publié un bulletin de sécurité concernant une vulnérabilité critique (CVE-2025-22457) qui touche les produits Ivanti Connect Secure, Policy Secure et ZTA GatewaysNote de bas de page 1Note de bas de page 3. La vulnérabilité s’est vu attribuer une cote CVSS de gravité de 9,0 sur 10Note de bas de page 3.
La CVE-2025-22457 est une vulnérabilité de dépassement de mémoire tampon basée sur une pile qui pourrait permettre à une attaquante ou un attaquant distant non authentifié d’exécuter du code à distance.
En réponse à ce bulletin de sécurité, le Centre pour la cybersécurité a publié le bulletin AV25-184 le 3 avril 2025Note de bas de page 2.
Les produits Ivanti suivants sont touchés par cette vulnérabilité:
- Ivanti Connect Secure – version 22.7R2.5 et versions antérieures
- Pulse Connect Secure (EoS) – version 9.1R18.9 et versions antérieures
- Ivanti politique Secure – version 22.7R1.3 et versions antérieures
- ZTA Gateways – version 22.8R2 et versions antérieures
Il est à noter que le risque découlant de cette vulnérabilité pour les clientes et clients est considérablement réduit s’ils exécutent des appliances Ivanti sur les versions prises en charge et s’ils suivent les conseils d’Ivanti : Ivanti encourage toujours les clientes et clients à avoir la version la plus récente d’une solution afin de profiter d’importantes améliorations sur le plan de la sécurité et des produitsNote de bas de page 1.
Le Centre pour la cybersécurité est au courant des signalements selon lesquels cette vulnérabilité avait été exploitée.
Mesures recommandées
Le Centre pour la cybersécurité recommande fortement aux organismes d’appliquer des correctifs aux versions suivantes des systèmes Ivanti touchésNote de bas de page 1:
- Ivanti Connect Secure – version 22.7R2.6 (publication le 11 février 2025)
- Pulse Connect Secure (EoS) – version 22.7R2.6 [5]
- Ivanti Policy Secure – version 22.7R1.4 (disponible le 21 avril 2025)
- ZTA Gateways – version 22.8R2 (disponible le 19 avril 2025)
Ivanti recommande également aux clientes et clients d’assurer la surveillance de leur outil externe de vérification de somme de contrôle (ICT pour Integrity Checker Tool) et de communiquer avec le soutien technique d’Ivanti si des activités suspectes sont détectées.
Le Centre pour la cybersécurité recommande aux organismes de prendre les mesures suivantes:
- évaluer les installations des produits Ivanti touchés et détecter des signes d’exploitation;
- appliquer des correctifs logiciels aux produits Ivanti touchés dès qu’ils sont disponibles.
De plus, le Centre pour la cybersécurité recommande fortement aux organismes de mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 6 du Centre pour la cybersécurité, en particulier celles liées aux stratégies suivantes:
- intégrer, surveiller et défendre les passerelles Internet;
- l’application des correctifs aux applications et aux systèmes d’exploitation;
- l’isolement des applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.