Ivanti против хакеров: патчи для актуальных угроз и новые 0day

Компания Ivanti выпустила ряд патчей для уязвимых шлюзов Connect Secure (ICS) и Policy Secure (IPS). Однако параллельно в компании обнаружили ещё две новых уязвимости нулевого дня (zero-day), одна из которых активно эксплуатируется.

Это произошло после заявления Ivanti о задержке выпуска первой партии патчей, которые должны были выйти ещё на прошлой неделе. Теперь же патчи доступны для версий 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 и ZTA версии 22.6R1.3.

Администраторам рекомендуется выполнить сброс настроек устройств до заводских перед установкой патча. Это предотвратит возможность атак при обновлении, так как сам процесс обновления может занять до четырёх часов.

Уязвимости под идентификаторами CVE-2023-46805 (CVSS: 8.2) и CVE-2024-21887 (CVSS: 9.1), о которых стало известно в середине января, позволяют неаутентифицированным атакующим удалённо выполнять код.

Изначально было заявлено о десяти пострадавших, но число жертв с тех пор быстро возросло. Патчи планировалось выпустить как можно раньше, но по итогу они вышли лишь 31 января.

В свете этих угроз, агентство по кибербезопасности и инфраструктурной безопасности США (CISA) заявило, что некоторые атакующие смогли обойти меры защиты Ivanti. «Злоумышленники продолжают использовать уязвимости в шлюзах Ivanti Connect Secure и Policy Secure для кражи учётных данных или размещения веб-шеллов, позволяющих дополнительно скомпрометировать корпоративные сети», — гласит предупреждение .

Новые 0day-уязвимости, зарегистрированные как CVE-2024-21888 (CVSS: 8.8) и CVE-2024-21893 (CVSS: 8.2), затрагивают все поддерживаемые версии ICS, IPS и ZTA-шлюзов. Первая уязвимость позволяет атакующему повысить свои привилегии до уровня администратора, а вторая является уязвимостью серверной стороны запросов.

Несмотря на недавнее обнаружение, патчи для новых zero-day так же уже доступны к скачиванию. Ivanti настоятельно рекомендует своим клиентам немедленно применить все последние патчи для защиты своих систем.