Μια ευπάθεια στα Ivanti Connect Secure και Ivanti Policy Secure, που παρακολουθείται ως CVE-2024-21893, χρησιμοποιείται μαζικά από κυβερνοεγκληματίες για την πραγματοποίηση επιθέσεων.
Η Ivanti προειδοποίησε για την ευπάθεια στα SAML components του gateway στις 31 Ιανουαρίου 2024. Τότε είχε πει ότι πρόκειται για ένα zero-day με περιορισμένη εκμετάλλευση, που στόχευε έναν μικρό αριθμό πελατών.
Ωστόσο, η εκμετάλλευση του CVE-2024-21893 επιτρέπει στους επιτιθέμενους να παρακάμψουν τον έλεγχο ταυτότητας και να αποκτήσουν πρόσβαση σε περιορισμένους πόρους σε ευάλωτες συσκευές (εκδόσεις 9.x και 22.x).
Σύμφωνα με την υπηρεσία παρακολούθησης απειλών Shadowserver, πολλοί κυβερνοεγκληματίες χρησιμοποιούν τώρα την ευπάθεια της Ivanti (τουλάχιστον 170 διευθύνσεις IP προσπαθούν να την εκμεταλλευτούν).
Δείτε επίσης: Mispadu banking trojan: Εκμεταλλεύεται ευπάθεια του Windows SmartScreen
Η αυξημένη εκμετάλλευση μπορεί να οφείλεται στο proof-of-concept (PoC) exploit που κυκλοφόρησαν οι ερευνητές της Rapid7 στις 2 Φεβρουαρίου, αν και η Shadowserver είχε εντοπίσει επιτιθέμενους να χρησιμοποιούν παρόμοιες μεθόδους εκμετάλλευσης, ώρες πριν από τη δημοσίευση της αναφοράς Rapid7.
Σύμφωνα με τη ShadowServer, υπάρχουν επί του παρόντος σχεδόν 22.500 συσκευές Ivanti Connect Secure εκτεθειμένες στο Διαδίκτυο, αλλά δεν γνωρίζουμε πόσες από αυτές είναι ευάλωτες στην εν λόγω ευπάθεια.
Πολλές οι ευπάθειες στα προϊόντα της Ivanti
Η αποκάλυψη για την ευπάθεια CVE-2024-21893 ήρθε μαζί με την κυκλοφορία ενημερώσεων ασφαλείας για δύο άλλες zero-day ευπάθειες, που επηρεάζουν τα ίδια προϊόντα. Πρόκειται για τις CVE-2023-46805 και CVE-2024-21887, που αναφέρθηκαν πρώτη φορά στις 10 Ιανουαρίου 2024.
Και οι δύο αυτές ευπάθειες χρησιμοποιήθηκαν από την κινεζική ομάδα UTA0178/UNC5221 για την εγκατάσταση webshells και backdoors σε παραβιασμένες συσκευές. Οι μολύνσεις αυτές κορυφώθηκαν στα μέσα Ιανουαρίου.
Δείτε επίσης: Mastodon: Ευπάθεια επιτρέπει την κλοπή λογαριασμών
Η εταιρεία αρχικά είχε προτείνει κάποιους τρόπους μετριασμού του κινδύνου γι’ αυτές τις ευπάθειες. Ωστόσο, οι επιτιθέμενοι κατάφεραν να τους παρακάμψουν και να θέσουν σε κίνδυνο ακόμη και τα αρχεία διαμόρφωσης της συσκευής, με αποτέλεσμα η Ivanti να αναβάλει τις ενημερώσεις firmware για να αντιμετωπίσει την απειλή.
Λόγω της αυξημένης εκμετάλλευσης πολλών ευπαθειών και της έλλειψης ενημερώσεων ασφαλείας για ορισμένες εκδόσεις προϊόντων που επηρεάζονται, η CISA έδωσε εντολή στις ομοσπονδιακές υπηρεσίες να αποσυνδέσουν όλες τις συσκευές Connect Secure και Policy Secure VPN.
Μόνο οι συσκευές στις οποίες έχει γίνει επαναφορά εργοστασιακών ρυθμίσεων και αναβάθμιση στην πιο πρόσφατη έκδοση firmware μπορούν να χρησιμοποιηθούν. Την ίδια τακτική πρέπει να ακολουθήσουν και οι ιδιωτικοί οργανισμοί αν θέλουν να παραμείνουν ασφαλείς (στην περίπτωσή τους δεν δίνεται εντολή).
Πώς να προστατευτείτε από τις ευπάθειες της Ivanti
Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτεί κάποιος από την εκμετάλλευση ευπαθειών είναι η εφαρμογή των τελευταίων ενημερώσεων ασφαλείας και patches (όταν κυκλοφορήσουν από την Ivanti).
Δείτε επίσης: RunC: Ευπάθειες επιτρέπουν πρόσβαση στους επιτιθέμενους
Επιπλέον, η χρήση ενός ισχυρού λογισμικού ανίχνευσης εισβολών (IDS) ή ενός συστήματος πρόληψης εισβολών (IPS) μπορεί να βοηθήσει στην ανίχνευση και την πρόληψη των προσπαθειών εκμετάλλευσης των zero-days.
Η εκπαίδευση των χρηστών για την ασφαλή χρήση του διαδικτύου και την αναγνώριση των επιθέσεων phishing είναι επίσης ζωτικής σημασίας. Οι επιθέσεις phishing είναι μια κοινή τακτική που χρησιμοποιούν οι επιτιθέμενοι για να εκμεταλλευτούν τα zero-days.
Τέλος, η χρήση ενός εξειδικευμένου λογισμικού για τη διαχείριση των ευπαθειών μπορεί να βοηθήσει στην ανίχνευση και την αποτροπή των επιθέσεων zero-day. Αυτό το λογισμικό μπορεί να παρακολουθεί συνεχώς το δίκτυο για ενδείξεις επιθέσεων και να παρέχει ειδοποιήσεις όταν ανιχνεύει κάτι ύποπτο.
Πηγή: www.bleepingcomputer.com
