🔓 Ivanti Workspace Control : la faille en mode « clé sous le paillasson »

Ivanti : Trois vulnérabilités critiques, une clé cryptographique codée en dur, des identifiants SQL exposés, et un produit encore utilisé dans des milliers d’environnements d’entreprise : c’est le cocktail explosif qu’Ivanti nous a servi ces derniers jours. Si vous cherchiez une raison pour accélérer la mise à jour de vos outils IT, la voici.

🧨 Le bug : quand la sécurité se fait tatouer le mot de passe

Trois vulnérabilités bien dodues ont été identifiées dans Ivanti Workspace Control (IWC) :

  • CVE-2025-5353 (CVSS 8.8)
  • CVE-2025-22455 (CVSS 8.8)
  • CVE-2025-22463 (CVSS 7.3)

Le point commun ? Une clé de chiffrement codée en dur, réutilisée dans toutes les installations. En clair, une fois la clé connue, elle permet à n’importe quel utilisateur local non privilégié de déchiffrer les données les plus sensibles : identifiants SQLmots de passe d’environnement, etc.

Le tout sans avoir besoin de ruser, de bruter ou d’exploiter un buffer overflow oublié. Non, ici, il suffit de tendre la main et de se servir. Merci pour le buffet libre-service, Ivanti.

🛠️ Versions touchées et périmètre impacté

Les versions concernées sont :

  • Ivanti Workspace Control jusqu’à la 10.19.0.0 incluse

Et qu’est-ce que ça touche ?

  • Les identifiants chiffrés dans la configuration IWC
  • Les mots de passe SQL
  • Les variables d’environnement stockées
  • Les comptes de services liés à la configuration

C’est donc un jackpot pour tout attaquant interne : dev, admin négligent, stagiaire curieux… Même pas besoin de droits admin pour déclencher le désastre.

🧪 Le vecteur d’attaque : local, mais violent

Pas besoin d’un accès réseau ni d’un shell distant. Il suffit d’avoir un accès local authentifié sur un poste client, avec IWC installé. Un script Python de quelques lignes ou un utilitaire PowerShell bien placé et voilà : les identifiants tombent comme des mouches.

Ajoutez à cela le fait que la clé est toujours la même, quel que soit l’environnement, et vous obtenez une faille digne d’un mauvais plugin WordPress de 2007. On est en 2025, les amis.

⏰ Pourquoi c’est (très) urgent

  • Aucune protection native contre l’extraction des données chiffrées.
  • Aucune rotation de clé possible pour les versions vulnérables.
  • Exploitation très simple : pas besoin d’interaction avec l’utilisateur ni de droits élevés.
  • Contexte post-exploitation rêvé : élévation de privilèges, rebond vers les bases de données, récupération d’autres secrets, voire prise de contrôle complète du SI.

Et pendant ce temps, Ivanti envoie tranquillement un communiqué : « aucune exploitation connue à ce jour ». Oui, jusqu’à la publication… maintenant, il ne reste qu’à surveiller les GitHub underground.

🔧 Recommandations techniques

  1. Mise à jour immédiate vers la version 10.19.10.0, qui corrige les vulnérabilités.
  2. Rotation de tous les identifiants exposés : comptes SQL, comptes de services, mots de passe environnement.
  3. Revue complète des configurations : cherchez les credentials stockés ou utilisés par IWC.
  4. Migration recommandée vers Workspace Control 2025.2, qui abandonne le vieux système de chiffrement au profit d’une API TLS moderne.
    • N’oubliez pas d’importer le certificat TLS « ShieldAPI » dans les Trusted Root Authorities de vos clients, sinon bonjour les erreurs de connexion.
  5. Renforcement de la sécurité locale : limiter les droits des utilisateurs sur les machines avec IWC, activer la journalisation poussée, filtrer les accès physiques et RDP.

💬 Et sinon, Ivanti, on en parle ?

On pourrait pardonner une erreur de jeunesse, un oubli, une implémentation bancale. Mais une clé cryptographique codée en dur, sérieusement ? En 2025 ? C’est comme cacher la clé USB contenant les mots de passe de tout un service RH sous le clavier. Mieux encore : c’est l’utiliser partout, la même, sans expiration, sans rotation, sans possibilité de modifier quoi que ce soit.

Le plus amusant ? Cette clé est connue des développeurs depuis belle lurette. Ce n’est pas une découverte fortuite. C’est une mauvaise pratique délibérée, transformée en dette technique… que vous venez de payer comptant.

🧠 Conclusion : faites vos mises à jour ou changez de métier

Ivanti Workspace Control, avec ces failles, devient un parfait cas d’école pour vos prochaines formations internes :

  • « Pourquoi ne jamais coder en dur une clé de chiffrement »
  • « Comment un accès local non privilégié suffit à ruiner toute votre stratégie de cloisonnement »
  • « Migration et gestion des secrets : ce que votre DSI refuse de regarder en face »

Alors, si vous utilisez encore IWC <10.19.10.0, vous êtes littéralement assis sur une mine. Et chaque jour sans patch, c’est une épingle en plus sur le détonateur.

Mettez à jour. Tournez la page. Et n’oubliez pas de changer vos mots de passe. Tous.

🔓 Ivanti Workspace Control : la faille en mode « clé sous le paillasson »
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut