Le 18 avril 2025, une activité inhabituelle a été repérée sur les infrastructures VPN d’Ivanti, notamment les solutions Connect Secure et Pulse Secure. Un spécialiste en cybersécurité a mis en évidence une augmentation soudaine et significative des scans IP visant ces services, une tendance qui pourrait annoncer de futures tentatives d’exploitation.
Les solutions Ivanti font l’objet d’une attention accrue depuis plusieurs mois, en raison de vulnérabilités déjà exploitées par le passé, notamment en janvier et début avril. Cette fois-ci, c’est le rapport de GreyNoise qui alerte : les scans dirigés vers les équipements ICS (Ivanti Connect Secure) et IPS (Pulse Secure) ont explosé. Ce 18 avril, pas moins de 234 adresses IP distinctes ont été détectées en train de sonder ces services, contre moins de 30 par jour en temps normal — une multiplication par neuf du volume d’activité suspecte.
GreyNoise a analysé les données des trois derniers mois et a comptabilisé 1 004 adresses IP uniques impliquées dans des activités de reconnaissance sur les solutions ICS/IPS d’Ivanti. Parmi elles, 244 ont été catégorisées comme malveillantes, 634 comme suspectes et 126 jugées inoffensives. Les IP considérées comme malveillantes proviennent majoritairement de nœuds de sortie du réseau Tor ou de services d’hébergement populaires, souvent utilisés pour masquer l’origine réelle des attaques. Les IP suspectes, quant à elles, sont généralement liées à des fournisseurs VPS ou des clouds moins connus, parfois de niche.
Au cours des trois derniers mois, plus de 1 000 adresses IP ont été détectées en train de scanner les endpoints Ivanti Connect Secure et Pulse Secure, parmi lesquelles 244 ont été classées comme malveillantes, selon GreyNoise.
🔥 Les Meilleures Offres du Mois de Mai 2025 🔥
✅ CyberGhost VPN - Le plus économique : 2,19€ / mois + 2 mois offerts
✅ ExpressVPN - Le plus rapide : 4,87€ / mois + 4 mois offerts + 5 GB d'eSIM offertes
✅ NordVPN - Le plus complet : 2,98€ / mois + 4 mois offerts
Ces offres ont été sélectionnées par notre équipe éditoriale.
Une phase de reconnaissance qui pourrait précéder une attaque
Selon les experts de GreyNoise, cette soudaine intensification des scans pourrait signaler une phase préparatoire à une campagne d’exploitation. « Nous n’avons pas encore identifié de vulnérabilité précise (CVE) liée à cette activité, mais des pics similaires ont déjà été observés avant des attaques réelles par le passé », précisent-ils.
Face à cette situation, les spécialistes recommandent aux équipes de cybersécurité de redoubler de vigilance. Il est conseillé d’analyser attentivement les logs pour détecter des tentatives de connexion inhabituelles, de bloquer les adresses IP identifiées comme suspectes ou malveillantes, de surveiller toute activité anormale sur les VPN Ivanti, et bien sûr, d’appliquer immédiatement les correctifs et mises à jour disponibles pour les solutions ICS et IPS.
Ingénieur en sécurité informatique. Rédacteur pour VPN Club.
Avertissement : Nous pouvons recevoir des commissions d'affiliation pour les produits et services recommandés, sans frais supplémentaires pour vous. En savoir plus...
