Η υπηρεσία πληροφοριών Five Eyes εξέδωσε μια νέα προειδοποίηση αναφορικά με την κυβερνοασφάλεια, εστιάζοντας στους κινδύνους που προκύπτουν από ευρέως γνωστές ευπάθειες στις πύλες Ivanti Connect Secure και Ivanti Policy Secure.
Επιπλέον, υπογραμμίζει την πιθανότητα παραπλάνησης του Εργαλείου Έλεγχου Ακεραιότητας (ICT) με σκοπό την προσφορά ενός ψευδούς αισθήματος ασφάλειας.
Δείτε επίσης: Ivanti: Μαζική εκμετάλλευση ευπάθειας από κυβερνοεγκληματίες
«Το Ivanti ICT δεν επαρκεί για τον εντοπισμό συμβιβασμού και ότι ένας παράγοντας απειλής στον κυβερνοχώρο μπορεί να είναι σε θέση να αποκτήσει επιμονή σε επίπεδο root παρά την έκδοση επαναφοράς εργοστασιακών ρυθμίσεων», σύμφωνα με την Five Eyes.
Μέχρι σήμερα, η Ivanti έχει αναφέρει πέντε ευπάθειες που επηρεάζουν τα προϊόντα της από τις 10 Ιανουαρίου 2024. Από αυτές, τέσσερις έχουν εκμεταλλευτεί ενεργά από διάφορους παράγοντες απειλών για την ανάπτυξη κακόβουλου λογισμικού.
CVE-2023-46805 (βαθμολογία CVSS: 8.2) – Ευπάθεια παράκαμψης ελέγχου ταυτότητας
CVE-2024-21887 (βαθμολογία CVSS: 9.1) – Ευπάθεια εισαγωγής εντολών
CVE-2024-21888 (βαθμολογία CVSS: 8,8) – Ευπάθεια κλιμάκωσης προνομίων (Privilege escalation)
CVE-2024-21893 (βαθμολογία CVSS: 8,2) – Ευπάθεια SSRF στο στοιχείο SAML
CVE-2024-22024 (βαθμολογία CVSS: 8.3) – Ευπάθεια XXE στο στοιχείο SAML
Η Mandiant, σε μια ανάλυση που δημοσιεύθηκε αυτή την εβδομάδα, περιέγραψε πώς μια κρυπτογραφημένη έκδοση κακόβουλου λογισμικού που είναι γνωστή ως BUSHWALK τοποθετείται σε έναν κατάλογο που εξαιρείται από το ICT στο /data/runtime/cockpit/diskAnalysis.
Τις προηγούμενες εβδομάδες, το Eclypsium ανέφερε ότι οι εξαιρέσεις καταλόγου έχουν παραλείψει τη σάρωση δώδεκα καταλόγων, επιτρέποντας σε εισβολέα να τοποθετήσει backdoors και να παραβιάσει τον έλεγχο ακεραιότητας.
“Η ασφαλέστερη πορεία δράσης για τους υπερασπιστές δικτύου είναι να υποθέσουν ότι ένας εξελιγμένος παράγοντας απειλής μπορεί να αναπτύξει την εμμονή σε επίπεδο rootkit σε μια συσκευή που έχει επαναρυθμιστεί και παραμένει αδρανής για ένα αυθαίρετο χρονικό διάστημα”, ανέφεραν πρακτορεία από την Αυστραλία, τον Καναδά, τη Νέα Ζηλανδία, το Ηνωμένο Βασίλειο και τις Η.Π.Α.
Διαβάστε ακόμη: Το DSLog backdoor εγκαθίσταται μέσω ευπάθειας SSRF στο Ivanti
Ενθάρρυναν επίσης τους οργανισμούς να λάβουν υπόψη το σημαντικό κίνδυνο πρόσβασης ανταγωνιστών και να επιμείνουν στη χρήση των πυλών Ivanti Connect Secure και Ivanti Policy Secure κατά την αξιολόγηση της συνέχισης λειτουργίας αυτών των συσκευών σε επιχειρηματικό περιβάλλον.
Η Ivanti απάντησε πως δεν έχει γνώση περιστατικών όπου η απειλή παρέμενε μετά την εφαρμογή ενημερώσεων ασφαλείας και την επαναφορά εργοστασιακών ρυθμίσεων. Επιπλέον, κυκλοφορεί μια νέα έκδοση του ICT που προσφέρει επιπλέον ορατότητα στη συσκευή ενός πελάτη και σε όλα τα αρχεία που υπάρχουν στο σύστημα.
Πηγή :thehackernews.com
