Vulnerabilità critiche su Ivanti sfruttate in the wild

01/15/2024

PROTO: N240115

CERT Yoroi informa che Ivanti ha reso noti due zero-day di Connect Secure (ICS) e Policy Secure che possono essere sfruttati in the wild e consentire agli aggressori remoti di eseguire comandi arbitrari sui gateway interessati.

Il prodotto Ivanti Connect Secure offre una soluzione VPN SSL conveniente e omogenea per gli utenti che accedono - da remoto e in mobilità - alle risorse aziendali da qualsiasi dispositivo abilitato al web, sempre e ovunque, mentre Ivanti Policy Secure (IPS) è una soluzione di network access control (NAC) che consente l'accesso alla rete solo a utenti e dispositivi autorizzati e protetti. Protegge la rete e protegge le applicazioni mission critical e i dati sensibili attraverso la gestione, la visibilità e il monitoraggio NAC completi.

Nello specifico, le due vulnerabilità si strutturano cosi:

CVE-2023-46805: Una vulnerabilità di bypass dell'autenticazione nel componente Web di Ivanti ICS 9.x, 22.x e Ivanti Policy Secure consente a un utente remoto di accedere a risorse riservate aggirando i controlli di sicurezza.
CVE-2024-21887: Una vulnerabilità di command injection nei componenti web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure consente a un amministratore autenticato di inviare richieste appositamente create ed eseguire comandi arbitrari sul dispositivo.

Quando si concatenano i due zero-day, gli aggressori possono eseguire comandi arbitrari su tutte le versioni supportate dei prodotti interessati, così come riportato da Mandiant e Volexity.

Si riscontrano prove di tentativi di manipolazione del controllore di integrità interno (TIC) di Ivanti da parte di soggetti malintenzionati. Per prudenza, si raccomanda a tutti i clienti di eseguire il TIC esterno.

Il TIC è un'istantanea dello stato attuale dell'appliance e non è detto che riesca a rilevare l'attività degli aggressori se questi hanno ripristinato l'appliance in uno stato pulito. Il TIC non esegue la scansione di malware o di altri indicatori di compromissione. Come best practice, si consiglia ai clienti di eseguire sempre il TIC insieme al monitoraggio continuo, come si legge all’interno dell’advisory dedicata alla mitigazione momentanea.

"Se la CVE-2024-21887 viene utilizzata insieme alla CVE-2023-46805, lo sfruttamento non richiede l'autenticazione e consente a un attore di minacce di creare richieste dannose ed eseguire comandi arbitrari sul sistema", ha dichiarato Ivanti.

L'azienda afferma che le patch saranno disponibili in modo scaglionato, con "la prima versione che sarà disponibile per i clienti la settimana del 22 gennaio e la versione finale che sarà disponibile la settimana del 19 febbraio".

Fino a quando non saranno disponibili le patch, gli zero-days possono essere mitigati importando il file mitigation.release.20240107.1.xml disponibile per i clienti tramite il portale di download di Ivanti.

Il vendor però sottolinea che, data la gravità dell’attacco, l'accesso pubblico all’avviso contenente tutti i dettagli della cve è privato, per dare ai clienti più tempo per proteggere i loro dispositivi prima che gli attori delle minacce possano creare exploit utilizzando le informazioni aggiuntive; pertanto, sarà accessibile solo a chi dispone di un accesso con credenziali al portale di ivanti.

La gravità del possibile impatto di questa vulnerabilità, secondo ricerche del nostro team di intelligence, è data dal fatto che ci siano stati numerosi tentativi di exploit in the wild, oltre l’elevata diffusione delle tecnologie che, come riportato su shodan, indicano la presenza di oltre 15 mila dispositivi esposti online vulnerabili.

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Cookie	Duration	Description
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
_gat_gtag_UA_209986505_1	1 minute	Set by Google to distinguish users.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Vulnerabilità critiche su Ivanti sfruttate in the wild

01/15/2024

Riferimenti Esterni

Subscribe to our early warning system