Двойной удар по софту Ivanti: одновременная эксплуатация новых 0-day развязывает хакерам руки
Патча до сих пор нет. Злонамеренные запросы и произвольные команды ещё долго будут преследовать корпоративных пользователей.
Компания Ivanti раскрыла наличие двух zero-day уязвимостей в своих продуктах Connect Secure и Policy Secure, которые были успешно использованы злоумышленниками в ходе реальной атаки. Эти уязвимости позволяют удалённым атакующим выполнить произвольные команды на целевых шлюзах.
Первая уязвимость, отслеживаемая под идентификатором CVE-2023-46805 , представляет собой обход аутентификации в веб-компоненте шлюзов, позволяя атакующим получить доступ к ограниченным ресурсам, обойдя контрольные проверки.
Вторая уязвимость, отслеживаемая под идентификатором CVE-2024-21887 , — это уязвимость внедрения команды, позволяющая аутентифицированным администраторам выполнять произвольные команды на уязвимых устройствах, отправляя специально подготовленные запросы.
Когда обе нулевые уязвимости объединяются в одну атаку, как сообщили эксперты компании Volexity, злоумышленники могут выполнять произвольные команды на всех поддерживаемых версиях затронутых продуктов.
«Если CVE-2024-21887 используется совместно с CVE-2023-46805, для эксплуатации не требуется аутентификация, и хакеры могут создавать злонамеренные запросы и выполнять произвольные команды в системе», — объяснили в Ivanti.
Специалисты зафиксировали атаки с применением обеих уязвимостей в минувшем декабре и предварительно связали их с китайской национальной группировкой злоумышленников.
«Сейчас мы обеспечиваем смягчение последствий, пока патч находится в разработке. Крайне важно, чтобы клиенты немедленно предприняли все необходимые действия для обеспечения своей полной защиты», — добавили в Ivanti.
Компания сообщает, что патчи будут выходить поэтапно до конца февраля. А пока они недоступны, нулевые дни могут быть смягчены путём импорта средств защиты с помощью файла «mitigation.release.20240107.1.xml», доступного клиентам через портал загрузки Ivanti.
Согласно результатам поиска Shodan, предоставленным экспертом по безопасности Кевином Бомонтом, более 15 000 шлюзов Connect Secure и Policy Secure в настоящее время доступны онлайн. А так как патч до сих пор не выпущен, можно с уверенностью предположить, что большинство из них уязвимо.
В июле государственные хакеры уже использовали две других zero-day уязвимости ( CVE-2023-35078 и CVE-2023-35081 ) в программном обеспечении Ivanti EPMM для вторжения в сети нескольких норвежских государственных организаций.
Через месяц хакеры использовали третью уязвимость ( CVE-2023-38035 ) в программном обеспечении Ivanti Sentry для обхода аутентификации API на уязвимых устройствах.
Продукты Ivanti являются крайне популярными и используются для управления IT-активами и системами более чем 40 000 компаниями по всему миру.
Домашний Wi-Fi – ваша крепость или картонный домик?