Новости Двойной удар по софту Ivanti: одновременная эксплуатация новых 0-day развязывает хакерам руки

[NewsMaker]

Патча до сих пор нет. Злонамеренные запросы и произвольные команды ещё долго будут преследовать корпоративных пользователей.

---

---

Компания Ivanti Для просмотра ссылки Войди или Зарегистрируйся наличие двух zero-day уязвимостей в своих продуктах Connect Secure и Policy Secure, которые были успешно использованы злоумышленниками в ходе реальной атаки. Эти уязвимости позволяют удалённым атакующим выполнить произвольные команды на целевых шлюзах.

Первая уязвимость, отслеживаемая под идентификатором Для просмотра ссылки Войди или Зарегистрируйся , представляет собой обход аутентификации в веб-компоненте шлюзов, позволяя атакующим получить доступ к ограниченным ресурсам, обойдя контрольные проверки.

Вторая уязвимость, отслеживаемая под идентификатором Для просмотра ссылки Войди или Зарегистрируйся , — это уязвимость внедрения команды, позволяющая аутентифицированным администраторам выполнять произвольные команды на уязвимых устройствах, отправляя специально подготовленные запросы.

Когда обе нулевые уязвимости объединяются в одну атаку, Для просмотра ссылки Войди или Зарегистрируйся эксперты компании Volexity , злоумышленники могут выполнять произвольные команды на всех поддерживаемых версиях затронутых продуктов.

«Если CVE-2024-21887 используется совместно с CVE-2023-46805, для эксплуатации не требуется аутентификация, и хакеры могут создавать злонамеренные запросы и выполнять произвольные команды в системе», — Для просмотра ссылки Войди или Зарегистрируйся в Ivanti.

Специалисты зафиксировали атаки с применением обеих уязвимостей в минувшем декабре и предварительно связали их с китайской национальной группировкой злоумышленников.

«Сейчас мы обеспечиваем смягчение последствий, пока патч находится в разработке. Крайне важно, чтобы клиенты немедленно предприняли все необходимые действия для обеспечения своей полной защиты», — добавили в Ivanti.

Компания сообщает, что патчи будут выходить поэтапно до конца февраля. А пока они недоступны, нулевые дни могут быть смягчены путём импорта средств защиты с помощью файла «mitigation.release.20240107.1.xml», доступного клиентам через портал загрузки Ivanti.

Согласно результатам поиска Shodan , Для просмотра ссылки Войди или Зарегистрируйся экспертом по безопасности Кевином Бомонтом, более 15 000 шлюзов Connect Secure и Policy Secure в настоящее время доступны онлайн. А так как патч до сих пор не выпущен, можно с уверенностью предположить, что большинство из них уязвимо.

В июле государственные хакеры Для просмотра ссылки Войди или Зарегистрируйся две других zero-day уязвимости ( Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ) в программном обеспечении Ivanti EPMM для вторжения в сети нескольких норвежских государственных организаций.

Через месяц хакеры Для просмотра ссылки Войди или Зарегистрируйся третью уязвимость ( Для просмотра ссылки Войди или Зарегистрируйся ) в программном обеспечении Ivanti Sentry для обхода аутентификации API на уязвимых устройствах.

Продукты Ivanti являются крайне популярными и используются для управления IT-активами и системами более чем 40 000 компаниями по всему миру.