Le CERT-FR a publié un rapport sur une campagne d’attaque observée par l’ANSSI en septembre 2024, ciblant des entités françaises à travers l’exploitation de vulnérabilités zero-day sur les appareils Ivanti Cloud Service Appliance (CSA).
La campagne d’attaque, nommée Houken, a impacté des secteurs tels que le gouvernement, les télécommunications, les médias, la finance et le transport. Les attaquants ont utilisé des vulnérabilités zero-day (CVE-2024-8190, CVE-2024-8963, et CVE-2024-9380) pour exécuter du code arbitraire à distance sur les appareils vulnérables, avant la publication des avis de sécurité d’Ivanti.
Les attaquants ont cherché à obtenir des identifiants en exécutant un script Python encodé en base64, et ont assuré la persistance en déployant des webshells PHP et des modules noyau agissant comme rootkits. Ils ont également tenté de se protéger contre d’autres exploitations en patchant eux-mêmes les ressources web vulnérables.
L’ANSSI a noté que les activités opérationnelles de l’attaquant se situaient dans le fuseau horaire UTC+8, correspondant à l’heure standard de la Chine. L’article est un rapport d’incident détaillant les méthodes et l’impact de la campagne d’attaque.
🔗 Source originale : https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-009/
🖴 Archive : https://web.archive.org/web/20250703124346/https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-009/