🔓 Ivanti Workspace Control : la faille en mode « clĂ© sous le paillasson »

Ivanti : Trois vulnĂ©rabilitĂ©s critiques, une clĂ© cryptographique codĂ©e en dur, des identifiants SQL exposĂ©s, et un produit encore utilisĂ© dans des milliers d’environnements d’entreprise : c’est le cocktail explosif qu’Ivanti nous a servi ces derniers jours. Si vous cherchiez une raison pour accĂ©lĂ©rer la mise Ă  jour de vos outils IT, la voici.

🧹 Le bug : quand la sĂ©curitĂ© se fait tatouer le mot de passe

Trois vulnĂ©rabilitĂ©s bien dodues ont Ă©tĂ© identifiĂ©es dans Ivanti Workspace Control (IWC) :

  • CVE-2025-5353 (CVSS 8.8)
  • CVE-2025-22455 (CVSS 8.8)
  • CVE-2025-22463 (CVSS 7.3)

Le point commun ? Une clĂ© de chiffrement codĂ©e en dur, rĂ©utilisĂ©e dans toutes les installations. En clair, une fois la clĂ© connue, elle permet Ă  n’importe quel utilisateur local non privilĂ©giĂ© de dĂ©chiffrer les donnĂ©es les plus sensibles : identifiants SQLmots de passe d’environnement, etc.

Le tout sans avoir besoin de ruser, de bruter ou d’exploiter un buffer overflow oubliĂ©. Non, ici, il suffit de tendre la main et de se servir. Merci pour le buffet libre-service, Ivanti.

đŸ› ïž Versions touchĂ©es et pĂ©rimĂštre impactĂ©

Les versions concernées sont :

  • Ivanti Workspace Control jusqu’à la 10.19.0.0 incluse

Et qu’est-ce que ça touche ?

  • Les identifiants chiffrĂ©s dans la configuration IWC
  • Les mots de passe SQL
  • Les variables d’environnement stockĂ©es
  • Les comptes de services liĂ©s Ă  la configuration

C’est donc un jackpot pour tout attaquant interne : dev, admin nĂ©gligent, stagiaire curieux
 MĂȘme pas besoin de droits admin pour dĂ©clencher le dĂ©sastre.

đŸ§Ș Le vecteur d’attaque : local, mais violent

Pas besoin d’un accĂšs rĂ©seau ni d’un shell distant. Il suffit d’avoir un accĂšs local authentifiĂ© sur un poste client, avec IWC installĂ©. Un script Python de quelques lignes ou un utilitaire PowerShell bien placĂ© et voilĂ  : les identifiants tombent comme des mouches.

Ajoutez Ă  cela le fait que la clĂ© est toujours la mĂȘme, quel que soit l’environnement, et vous obtenez une faille digne d’un mauvais plugin WordPress de 2007. On est en 2025, les amis.

⏰ Pourquoi c’est (trùs) urgent

  • Aucune protection native contre l’extraction des donnĂ©es chiffrĂ©es.
  • Aucune rotation de clĂ© possible pour les versions vulnĂ©rables.
  • Exploitation trĂšs simple : pas besoin d’interaction avec l’utilisateur ni de droits Ă©levĂ©s.
  • Contexte post-exploitation rĂȘvé : Ă©lĂ©vation de privilĂšges, rebond vers les bases de donnĂ©es, rĂ©cupĂ©ration d’autres secrets, voire prise de contrĂŽle complĂšte du SI.

Et pendant ce temps, Ivanti envoie tranquillement un communiquĂ© : « aucune exploitation connue Ă  ce jour ». Oui, jusqu’à la publication
 maintenant, il ne reste qu’à surveiller les GitHub underground.

🔧 Recommandations techniques

  1. Mise à jour immédiate vers la version 10.19.10.0, qui corrige les vulnérabilités.
  2. Rotation de tous les identifiants exposés : comptes SQL, comptes de services, mots de passe environnement.
  3. Revue complÚte des configurations : cherchez les credentials stockés ou utilisés par IWC.
  4. Migration recommandĂ©e vers Workspace Control 2025.2, qui abandonne le vieux systĂšme de chiffrement au profit d’une API TLS moderne.
    • N’oubliez pas d’importer le certificat TLS « ShieldAPI » dans les Trusted Root Authorities de vos clients, sinon bonjour les erreurs de connexion.
  5. Renforcement de la sécurité locale : limiter les droits des utilisateurs sur les machines avec IWC, activer la journalisation poussée, filtrer les accÚs physiques et RDP.

💬 Et sinon, Ivanti, on en parle ?

On pourrait pardonner une erreur de jeunesse, un oubli, une implĂ©mentation bancale. Mais une clĂ© cryptographique codĂ©e en dur, sĂ©rieusement ? En 2025 ? C’est comme cacher la clĂ© USB contenant les mots de passe de tout un service RH sous le clavier. Mieux encore : c’est l’utiliser partout, la mĂȘme, sans expiration, sans rotation, sans possibilitĂ© de modifier quoi que ce soit.

Le plus amusant ? Cette clĂ© est connue des dĂ©veloppeurs depuis belle lurette. Ce n’est pas une dĂ©couverte fortuite. C’est une mauvaise pratique dĂ©libĂ©rĂ©e, transformĂ©e en dette technique
 que vous venez de payer comptant.

🧠 Conclusion : faites vos mises Ă  jour ou changez de mĂ©tier

Ivanti Workspace Control, avec ces failles, devient un parfait cas d’école pour vos prochaines formations internes :

  • « Pourquoi ne jamais coder en dur une clĂ© de chiffrement »
  • « Comment un accĂšs local non privilĂ©giĂ© suffit Ă  ruiner toute votre stratĂ©gie de cloisonnement »
  • « Migration et gestion des secrets : ce que votre DSI refuse de regarder en face »

Alors, si vous utilisez encore IWC <10.19.10.0, vous ĂȘtes littĂ©ralement assis sur une mine. Et chaque jour sans patch, c’est une Ă©pingle en plus sur le dĂ©tonateur.

Mettez à jour. Tournez la page. Et n’oubliez pas de changer vos mots de passe. Tous.

🔓 Ivanti Workspace Control : la faille en mode « clĂ© sous le paillasson »
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut