Οι ερευνητές λένε ότι οι εισβολείς εκμεταλλεύονται μαζικά το νέο ελάττωμα του Ivanti VPN


gnews




Τεχνολογία


Οι ερευνητές αναφέρουν εκμετάλλευση ελάττωματος Ivanti VPN από εισβολείς



By

Marizas Dimitris



Οι χάκερ έχουν αρχίσει να εκμεταλλεύονται μαζικά μια τρίτη ευπάθεια που επηρεάζει την ευρέως χρησιμοποιούμενη εταιρική συσκευή VPN της Ivanti, δείχνουν νέα δημόσια δεδομένα.

Την περασμένη εβδομάδα, η Ivanti είπε ότι είχε ανακαλύψει δύο νέα ελαττώματα ασφαλείας —που εντοπίζονται ως CVE-2024-21888 και CVE-2024-21893— που επηρεάζουν το Connect Secure, τη λύση VPN απομακρυσμένης πρόσβασης που χρησιμοποιείται από χιλιάδες εταιρείες και μεγάλους οργανισμούς παγκοσμίως. Σύμφωνα με την ιστοσελίδα της, η Ivanti έχει περισσότερους από 40.000 πελάτες, συμπεριλαμβανομένων πανεπιστημίων, οργανισμών υγειονομικής περίθαλψης και τραπεζών, των οποίων η τεχνολογία επιτρέπει στους υπαλλήλους τους να συνδέονται εκτός γραφείου.

Η απο

ήρθε λίγο αφότου ο Ivanti επιβεβαίωσε δύο προηγούμενα σφάλματα στο Connect Secure, τα οποία παρακολουθούνται ως CVE-2023-46805 και CVE-2024-21887, τα οποία οι ερευνητές ασφαλείας είπαν ότι οι υποστηριζόμενοι από την Κίνα χάκερ εκμεταλλεύονταν από τον Δεκέμβριο για να εισβάλουν σε δίκτυα πελατών και να κλέψουν πληροφορίες .

Τώρα τα δεδομένα δείχνουν ότι ένα από τα ελαττώματα που ανακαλύφθηκαν πρόσφατα – CVE-2024-21893, ένα ελάττωμα πλαστογραφίας αιτημάτων από την πλευρά του διακομιστή – γίνεται μαζική εκμετάλλευση.

Αν και ο Ivanti έχει διορθώσει από τότε τα τρωτά σημεία, οι ερευνητές ασφαλείας αναμένουν ότι θα υπάρξει μεγαλύτερος αντίκτυπος στους οργανισμούς καθώς περισσότερες ομάδες hacking εκμεταλλεύονται το ελάττωμα. Ο Steven Adair, ιδρυτής της εταιρείας

ς Volexity, μιας εταιρείας ασφαλείας που παρακολουθεί την εκμετάλλευση των τρωτών σημείων του Ivanti, προειδοποίησε ότι τώρα που ο κώδικας εκμετάλλευσης απόδειξης της ιδέας είναι δημόσιος, «οποιεσδήποτε μη επιδιορθωμένες

που είναι προσβάσιμες μέσω Διαδικτύου πιθανότατα έχουν παραβιαστεί πολλές φορές πάνω από.”

Ο Piotr Kijewski, διευθύνων σύμβουλος του Shadowserver Foundation, ενός μη κερδοσκοπικού οργανισμού που σαρώνει και παρακολουθεί το Διαδίκτυο για εκμετάλλευση, είπε στο TechCrunch την Πέμπτη ότι ο οργανισμός έχει παρατηρήσει περισσότερες από 630 μοναδικές IP που προσπαθούν να εκμεταλλευτούν το ελάττωμα του διακομιστή, το οποίο επιτρέπει στους εισβολείς να αποκτήσουν πρόσβαση σε δεδομένα σε ευάλωτες συσκευές.

Αυτή είναι μια απότομη αύξηση σε σύγκριση με την περασμένη εβδομάδα όταν είπε ο Shadowserver

είχε παρατηρήσει 170 μοναδικές IP

προσπαθώντας να εκμεταλλευτεί την ευπάθεια.

Ενα

ανάλυση του νέου ελαττώματος από την πλευρά του διακομιστή

δείχνει ότι το σφάλμα μπορεί να αξιοποιηθεί για να παρακάμψει τον αρχικό μετριασμό του Ivanti για την αρχική αλυσίδα εκμετάλλευσης που περιλαμβάνει τα δύο πρώτα τρωτά σημεία, καθιστώντας αποτελεσματικά αυτούς τους μετριασμούς πριν από την ενημέρωση κώδικα.

Ο Kijewski πρόσθεσε ότι ο Shadowserver παρατηρεί επί του παρόντος περίπου 20.800 συσκευές Ivanti Connect Secure που είναι εκτεθειμένες στο διαδίκτυο, από 22.500 την προηγούμενη εβδομάδα, αν και σημείωσε ότι δεν είναι γνωστό πόσες από αυτές τις συσκευές Ivanti είναι ευάλωτες στην εκμετάλλευση.

Δεν είναι ξεκάθαρο ποιος κρύβεται πίσω από τη μαζική εκμετάλλευση, αλλά οι ερευνητές ασφαλείας απέδωσαν την εκμετάλλευση των δύο πρώτων σφαλμάτων του Connect Secure σε μια ομάδα hacking που υποστηρίζεται από την κυβέρνηση της Κίνας πιθανότατα υποκινούμενη από κατασκοπεία.

Η Ivanti είχε δηλώσει προηγουμένως ότι γνώριζε τη «στοχευμένη» εκμετάλλευση του σφάλματος από την πλευρά του διακομιστή με στόχο έναν «περιορισμένο αριθμό πελατών». Παρά τα

νειλημμένα αιτήματα του TechCrunch αυτή την εβδομάδα, ο Ivanti δεν σχολίασε τις αναφορές ότι το ελάττωμα υφίσταται μαζική εκμετάλλευση, αλλά δεν αμφισβήτησε τα ευρήματα του Shadowserver.

Ιβάντι

άρχισε να βγάζει μπαλώματα

σε πελάτες για όλα τα τρωτά σημεία παράλληλα με μια δεύτερη σειρά μέτρων μετριασμού στις αρχές αυτού του μήνα. Ωστόσο, η Ivanti σημειώνει στη συμβουλή ασφαλείας της – που ενημερώθηκε τελευταία στις 2 Φεβρουαρίου – ότι «απελευθερώνει ενημερώσεις κώδικα για τον μεγαλύτερο αριθμό εγκαταστάσεων πρώτα και μετά συνεχίζει με φθίνουσα σειρά».

Δεν είναι γνωστό πότε η Ivanti θα διαθέσει τις ενημερώσεις κώδικα σε όλους τους δυνητικά ευάλωτους πελάτες της.

Οι αναφορές για μαζική εκμετάλλευση ενός άλλου ελαττώματος του Ivanti έρχονται λίγες μέρες αφότου η αμερικανική υπηρεσία κυβερνοασφάλειας CISA διέταξε τις ομοσπονδιακές

να αποσυνδέσουν επειγόντως όλες τις συσκευές Ivanti VPN. Σύμφωνα με την προειδοποίηση της υπηρεσίας, η CISA έδωσε στους οργανισμούς μόλις δύο ημέρες για να αποσυνδέσουν τις συσκευές, επικαλούμενη τη «σοβαρή απειλή» από τα τρωτά σημεία που υφίστανται ενεργή επίθεση.


VIA:

techcrunch.com


Follow TechWar.gr on Google News






cybersecurity


hacking


security


Vulnerability


Ιβάντι


κυβερνασφάλεια


Τρωτό


χακάρισμα






Marizas Dimitris



109170 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.