La Cyber Security and Infrastructure Agency (CISA) des États-Unis a élargi l'information technique sur une menace silencieuse qui a profité d'un échec critique sur les appareils Ivanti Connect Secure : un implant malveillant nommé RESURGE. Ce logiciel malveillant ne se comporte pas comme la porte arrière typique qui « crie » lors de la connexion à votre centre de commande; au lieu de cela, il reste en attente dans l'appareil jusqu'à ce que l'attaquant démarre une connexion très spécifique, ce qui rend difficile de la détecter par des outils de surveillance réseau conventionnels.
RESURGE est présenté comme une librairie partagée 32 bits pour Linux - un fichier .so - qui est installé dans l'application affectée et ajoute des capacités rootkit, la persistance dans le démarrage, les portes arrière et les fonctions proxy et tunnel. Techniquement, lorsque la librairie est chargée dans le processus web de l'appareil, elle intercepte l'appel système accepté () pour inspecter les connexions TLS entrantes avant qu'elles n'atteignent le serveur légitime. Seulement si la connexion répond à une empreinte TLS spécifique - calculée avec un schéma CRC32 appliqué à l'empreinte - et est authentifiée par un faux certificat qui imite Ivanti, l'implant répond; sinon, le trafic est livré au serveur légitime, en préservant la fonctionnalité normale et en réduisant les signaux d'engagement visibles.
En outre, la communication à distance subséquente est établie par une session mutuelle TLS cryptée avec cryptographie de courbe elliptique. L'implant demande la clé EC de l'opérateur distant et vérifie cette clé avec un code d'autorité de certification EC intégré dans son code, lui permettant de maintenir un canal chiffré et difficile à distinguer du trafic légitime TLS ou SSH. Cette technique de mimicalisme, associée au fait que le certificat falsifié est transmis sans chiffrement à un point du protocole, offre aux défenseurs une opportunité : cette signature de certificat non chiffrée peut servir d'indicateur d'engagement dans le trafic réseau si elle est expressément recherchée.
L'analyse publiée par CISA détaille également d'autres composants qui élargissent la capacité de l'implant à cacher ses empreintes et à persister dans le système : une variante connue de SpawnSloth (identifiée comme liblogblock.so) conçue pour modifier les enregistrements et supprimer des traces d'activité malveillante, et un script appelé dsmain qui intègre des utilitaires tels que extract _ vmlinux.sh et BusyBox pour extraire et manipuler des images firmware. Grâce à ces outils, les attaquants peuvent même modifier des images de coreboot et laisser les modifications au niveau du démarrage qui survivent à la remise en route ou au nettoyage de surface.
La vulnérabilité exploitée, enregistrée sous le nom de CVE-2025-0282, a été utilisée comme zéro jour depuis décembre 2024 par un acteur auquel certaines entreprises d'intervention en cas d'incident ont associé un groupe lié à la Chine (retracé à l'interne sous le numéro UNC5221). Les capacités observées lors d'incidents précédents comprennent la création de webshells pour le vol d'identifications, la génération de comptes locaux, les transferts de mots de passe et l'escalade des privilèges, ce qui rend les dispositifs engagés dans des plates-formes précieuses pour les mouvements latéraux et l'exfiltration d'informations.
Le problème le plus opérationnel est la latence et la dormance de l'implant : peut être inactif pendant de longues périodes et ne pas montrer l'activité jusqu'à ce que l'opérateur distant tente de se connecter, de sorte qu'une équipe peut sembler saine tout en accueillant une menace prête à activer. C'est pourquoi la CISA insiste pour que les administrateurs ne soient pas en confiance en l'absence de signes évidents d'engagement et utilisent les signatures et les indicateurs fournis pour rechercher des infections latentes.
Pour ceux qui gèrent Ivanti Connect Secure et des dispositifs similaires, la feuille de route pratique consiste à combiner plusieurs mesures : appliquer les correctifs et les mesures d'atténuation publiés par le fournisseur, comparer les fichiers et les montants de vérification fournis par l'analyse avec les fichiers présents dans l'équipement, rechercher la présence des librairies et des scripts associés, et examiner le trafic TLS à la recherche de motifs atypiques (y compris le certificat apocryphe qui, selon la CISA, circule non chiffré dans les phases d'authentification). Lorsqu'il y a confirmation d'engagement, les actions peuvent inclure l'isolement de l'équipement, la restauration d'images fiables et, dans des environnements critiques, la reconstruction complète de l'application pour supprimer toute trace de firmware ou de manipulation de démarrage.
Si vous voulez lire le document technique élargi de la CISA, l'organisme a publié un rapport d'analyse qui décrit ces mécanismes plus en détail et fournit des indicateurs d'engagement : Rapport de la CISA sur le RESURGE. La CISA avait également émis une alerte initiale résumant les capacités des logiciels malveillants et leur persistance: avertissement préalable de la CISA. Pour la référence publique de la vulnérabilité, voir la fiche de données de la base de données sur la vulnérabilité nationale: CVE-2025-0282 dans NVD. Les rapports d'analyse et de presse technique ont également couvert le cas et contextualisé l'attribution et le modus operandi; par exemple, ce résumé journalistique contient les points clés et les liens pertinents: Calculateur de roulis sur RESURGE. Enfin, si vous administrez des produits Ivanti, il est approprié de consulter la section des avis de sécurité officiels du fournisseur pour appliquer vos indications: Avis de sécurité d'Ivanti.
Bref, RESURGE représente une évolution des techniques d'intrusion : moins de bruit, plus de mymétisme et de persistance à très faible visibilité. La clé pour atténuer ce type de menace est non seulement de se garer, mais aussi de rechercher activement des signaux subtils sur le réseau et dans les systèmes, et d'être préparé à des mesures de médiation profonde si nécessaire. La bonne nouvelle est que, grâce aux informations techniques déjà publiées par la CISA et d'autres entités, les équipes de sécurité disposent d'outils et de signatures pour détecter et éradiquer ces infections si elles agissent rapidement et de manière coordonnée.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...