Analyse d'Architecture : L'écosystème de Sécurité Ivanti

1. Composants clés de l’écosystème

Pour investiguer une intrusion, les analystes doivent identifier quel composant spécifique d’Ivanti est ciblé et comprendre son rôle dans l’architecture du réseau.

Ivanti Connect Secure (ICS)

Anciennement Pulse Secure. Il s’agit du produit phare et de l’équipement le plus fréquemment rencontré lors des missions DFIR. ICS est une passerelle VPN SSL fournissant un accès distant sécurisé aux ressources de l’entreprise. Fonctionnant sur un système propriétaire durci (“Ivanti OS”), sa compromission accorde à un attaquant un accès direct et authentifié au réseau interne.

Ivanti EPMM

Anciennement MobileIron Core. EPMM (Endpoint Manager Mobile) est une solution de gestion des appareils mobiles (MDM/UEM). Elle gère et sécurise les flottes de smartphones et tablettes de l’entreprise. Une compromission ici peut mener à un vol massif de données sensibles ou servir de point de pivot vers le réseau interne.

Ivanti Sentry

Anciennement MobileIron Sentry. Une passerelle en ligne qui sécurise, chiffre et gère le trafic entre les appareils mobiles gérés par EPMM et les services back-end de l’entreprise (tels que Microsoft Exchange ActiveSync).

2. La surface d’attaque : un aimant à Zero-Days

Parce que les équipements Ivanti Connect Secure (ICS) et EPMM doivent être exposés à l’Internet public pour fonctionner, ils représentent une surface d’attaque périmétrique idéale. Ils opèrent comme des “boîtes noires” où les agents EDR traditionnels ne peuvent pas être déployés, offrant un angle mort idéal pour les attaquants.

Exploitation APT et TTPs

Ces dernières années (notamment sur la période 2023-2026), un barrage de vulnérabilités critiques d’exécution de code à distance (RCE) non authentifiées (ex: CVE-2023-46805, CVE-2024-21887, CVE-2024-21893) a été massivement exploité par des acteurs parrainés par des États.

Une fois qu’un zero-day est utilisé pour contourner l’authentification, les adversaires déploient généralement un ensemble cohérent de tactiques, techniques et procédures (TTPs) :

Webshells et Backdoors : dépôt de webshells persistants (écrits en .pl, .cgi ou .py) directement sur le système de fichiers de l’équipement.
Vol d’identifiants (Credential Harvesting) : modification du code source légitime de l’équipement (fichiers JavaScript ou Perl CGI) pour intercepter les fonctions de connexion, permettant aux attaquants de voler les mots de passe en clair et les cookies de session actifs des utilisateurs légitimes lors de leur authentification.
Mouvement latéral : utilisation de la passerelle compromise comme un proxy interne pour tunneler le trafic et lancer des attaques en profondeur dans le réseau de l’entreprise.

3. Réponse à incident : la checklist du CSIRT

La compromission d’un équipement Ivanti est un incident de la plus haute criticité. S’agissant d’un système propriétaire, l’investigation nécessite des méthodologies de triage hautement spécifiques.

L’Integrity Checker Tool (ICT) : C’est la toute première action absolue de toute investigation. Fourni par Ivanti, l’ICT scanne l’équipement pour vérifier l’intégrité de ses fichiers système par rapport à une ligne de base cryptographique saine et connue. Si l’ICT échoue ou signale des fichiers modifiés, c’est une preuve définitive de compromission.
Triage des logs (Système et Web) : Extrayez des “snapshots” complets des journaux via l’interface d’administration.
- Journaux d’accès utilisateur : traquez les anomalies de voyage impossible, les connexions à des heures étranges ou les tentatives de force brute suivies d’un succès.
- Journaux d’événements admin : recherchez les modifications de configuration inattendues, la création de nouveaux comptes ou l’accès à des panneaux d’administration sensibles.
- Journaux web non authentifiés : cherchez des requêtes contenant des séquences de traversée de répertoire (../) ou des chemins d’URI inhabituels associés à des tentatives d’exploitation.
Forensique avancée de l’équipement : Acquérez un snapshot complet du système (qui capture le système de fichiers et les configurations).
- Fouillez les répertoires web (ex: /data/runtime/tmp/) à la recherche de webshells déposés.
- Auditez les tâches cron pour déceler des mécanismes de persistance.
- Examinez les fichiers légitimes modifiés par les attaquants (ce qui devrait corréler avec les résultats de l’ICT).
Confinement immédiat : Si une compromission est fortement suspectée, isolez immédiatement l’équipement du réseau interne pour stopper le mouvement latéral, et croisez la version de l’OS en cours d’exécution avec le catalogue des vulnérabilités connues exploitées (KEV) de la CISA.

4. Hub d’Investigation et de Réponse Ivanti

Pour investiguer, contenir et remédier efficacement aux compromissions Ivanti, le Hermes Codex propose des guides opérationnels approfondis. Accédez aux modules suivants en fonction de la phase de votre investigation :

1. Le terrain : Forensique Appliance Ivanti : Architecture et Versioning — apprenez à naviguer dans le système à double partition et à identifier le build exact de l’OS.
2. Les traces : Analyse des logs Ivanti et parsing cryptique — un guide pour déchiffrer les journaux propriétaires Ivanti (log.cgi, user_access.log) et chasser les signatures d’attaques HTTP.
3. La preuve : Chasse aux artefacts et détection de Webshells — découvrez où les attaquants cachent les webshells .jsp et .pl, et comment analyser les résultats de l’Integrity Checker Tool (ICT).
4. Réponse à incident : Playbook : Investigation des CVE-2026-1281 et 1340 (EPMM) — un guide étape par étape de remédiation et de confinement “terre brûlée” pour les RCE critiques sur EPMM.

Sources et références

Avis CISA : Catalogue des vulnérabilités connues exploitées (KEV)
Playbook lié : Triage d’alerte EDR (Pour traquer les mouvements latéraux trouvant leur origine sur le VPN)