Η Ivanti αποκάλυψε δύο μηδενικές ημέρες Connect
Secure
(ICS) και
Policy
Secure που εκμεταλλεύονται στην άγρια φύση και μπορούν να επιτρέψουν σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές σε στοχευμένες πύλες.
Το
πρώτο ελάττωμα ασφαλείας (CVE-2023-46805) είναι μια παράκαμψη ελέγχου ταυτότητας στο στοιχείο ιστού των πυλών, που επιτρέπει στους εισβολείς να έχουν πρόσβαση σε περιορισμένους πόρους, παρακάμπτοντας τους ελέγχους ελέγχου.
Το δεύτερο (που παρακολουθείται ως CVE-2024-21887) είναι μια ευπάθεια εισαγωγής εντολών που επιτρέπει σε πιστοποιημένους διαχειριστές να εκτελούν αυθαίρετες εντολές σε ευάλωτες συσκευές στέλνοντας ειδικά κατασκευασμένα αιτήματα.
Κατά τη σύνδεση των δύο μηδενικών ημερών, που αναφέρονται από το Mandiant και το Volexity, οι εισβολείς μπορούν να εκτελέσουν αυθαίρετες εντολές σε όλες τις υποστηριζόμενες εκδόσεις των επηρεαζόμενων προϊόντων.
“Εάν το CVE-2024-21887 χρησιμοποιείται σε συνδυασμό με το CVE-2023-46805, η εκμετάλλευση δεν απαιτεί έλεγχο ταυτότητας και επιτρέπει σε έναν παράγοντα απειλής να δημιουργεί κακόβουλα αιτήματα και να εκτελεί αυθαίρετες εντολές στο σύστημα,” Ivanti
είπε
.
“Παρέχουμε μετριασμούς τώρα, ενώ η ενημερωμένη έκδοση κώδικα βρίσκεται σε εξέλιξη για να δοθεί προτεραιότητα στο βέλτιστο συμφέρον των πελατών μας. Είναι σημαντικό να λάβετε αμέσως μέτρα για να διασφαλίσετε ότι προστατεύεστε πλήρως.”
Η εταιρεία λέει ότι οι ενημερώσεις κώδικα θα είναι διαθέσιμες σε κλιμακωτό
χρονοδιάγραμμα
, με «την πρώτη έκδοση να στοχεύει να είναι διαθέσιμη στους πελάτες την εβδομάδα της 22ας Ιανουαρίου και η τελική έκδοση να είναι διαθέσιμη την εβδομάδα της 19ης Φεβρουαρίου».
Μέχρι να είναι διαθέσιμες οι ενημερώσεις κώδικα, οι μηδενικές ημέρες μπορεί να είναι
μετριάστηκε
με
εισαγωγής
mitigation.release.20240107.1.xml αρχείο διαθέσιμο στους πελάτες
μέσω της πύλης λήψης του Ivanti
.
Zero-days που αξιοποιούνται σε επιθέσεις
Ο Ivanti λέει ότι οι δύο ημέρες μηδέν έχουν ήδη αξιοποιηθεί στη φύση σε επιθέσεις που στοχεύουν μικρό αριθμό πελατών.
“Γνωρίζουμε λιγότερους από 10 πελάτες που επηρεάζονται από τα τρωτά σημεία. Δεν είμαστε σε θέση να συζητήσουμε τις ιδιαιτερότητες των πελατών μας”, η εταιρεία
αποκάλυψε
.
“Έχουμε δει αποδεικτικά στοιχεία απειλών που προσπάθησαν να χειραγωγήσουν τον έλεγχο εσωτερικής ακεραιότητας (ICT) του Ivanti. Από άφθονη προσοχή, συνιστούμε σε όλους τους πελάτες
τρέξτε τις εξωτερικές ΤΠΕ
.
“Με βάση την ανάλυσή μας, η Ivanti δεν βρήκε καμία ένδειξη ότι αυτή η ευπάθεια εισήχθη στη διαδικασία ανάπτυξης του κώδικα μας με κακόβουλο τρόπο. Η Ivanti δεν έχει καμία ένδειξη ότι έχει παραβιαστεί.”
Όπως αναφέρει ο Shodan, σύμφωνα με τον α
συμβολοσειρά αναζήτησης
κοινοποιούνται από τον ειδικό σε θέματα ασφάλειας Kevin Beaumont, πάνω από 15.000 πύλες Connect Secure (ICS) και Policy Secure εκτίθενται επί του παρόντος στο διαδίκτυο.
Πύλες Connect Secure και Policy Secure που εκτίθενται στο
Διαδίκτυο
(Shodan)
Beaumont επίσης
προειδοποίησε
νωρίτερα
σήμερα
ότι οι δύο ημέρες μηδέν χρησιμοποιούνται σε επιθέσεις και επιτρέπουν την παράκαμψη MFA και την εκτέλεση κώδικα.
Την περασμένη εβδομάδα, ο Ivanti είπε ότι μια ευπάθεια κρίσιμης απομακρυσμένης εκτέλεσης κώδικα (RCE) (CVE-2023-39336) στο λογισμικό διαχείρισης τελικού σημείου (EPM) θα μπορούσε να γίνει κατάχρηση από εισβολείς που δεν έχουν πιστοποιηθεί για να παραβιάσουν εγγεγραμμένες συσκευές ή τον κεντρικό διακομιστή.
Τον Ιούλιο, κρατικοί χάκερ εξερεύνησαν δύο άλλες μηδενικές ημέρες (CVE-2023-35078 και CVE-2023-35081) στο Endpoint Manager Mobile (EPMM) του Ivanti για να παραβιάσουν τα δίκτυα αρκετών νορβηγικών κυβερνητικών οργανισμών.
Ένα μήνα αργότερα, οι χάκερ εκμεταλλεύτηκαν ένα τρίτο ελάττωμα μηδενικής ημέρας (CVE-2023-38035) στο λογισμικό Sentry της Ivanti για να παρακάμψουν τον έλεγχο ταυτότητας API σε ευάλωτες συσκευές.
Τα προϊόντα της Ivanti χρησιμοποιούνται από περισσότερες από 40.000 εταιρείες σε όλο τον κόσμο για τη διαχείριση των περιουσιακών στοιχείων και των συστημάτων πληροφορικής τους.
VIA:
bleepingcomputer.com
