PoC для CVE-2024-21893 усугубил положение, под ударом около 22 500 устройств.
Массовая эксплуатация уязвимости в серверах Ivanti Connect Secure и Policy Secure, обозначенная как Для просмотра ссылки Войдиили Зарегистрируйся , вызывает тревогу среди специалистов по кибербезопасности. Этот серьёзный недочёт влияет на версии программного обеспечения 9.x и 22.x позволяет злоумышленникам обходить аутентификацию и получать доступ к ограниченным ресурсам уязвимых устройств.
Первое предупреждение от компании Ivanti было выпущено 31 января, когда уязвимость получила статус «нулевого дня» из-за ограниченной активной эксплуатации, затрагивающей небольшое количество клиентов.
Теперь же, Для просмотра ссылки Войдиили Зарегистрируйся служба мониторинга угроз Shadowserver , уязвимость активно используется злоумышленниками. Специалисты зафиксировали попытки её эксплуатации со 170 уникальных IP-адресов. Объем атак на данную уязвимость значительно превышает активность по другим недавно исправленным проблемам Ivanti, что указывает на явную смену фокуса атакующими.
2 февраля исследователи из Rapid7 Для просмотра ссылки Войдиили Зарегистрируйся в открытый доступ PoC - эксплойт , который, без сомнения, также способствовал увеличению числа атак. Хотя Shadowserver Для просмотра ссылки Войди или Зарегистрируйся , что методы, аналогичные опубликованным, использовались злоумышленниками и за несколько часов до выхода отчёта Rapid7. Это свидетельствует о том, что хакеры уже и сами нашли способы использования CVE-2024-21893 для неограниченного доступа без аутентификации к уязвимым точкам Ivanti.
На сегодняшний день исследователями обнаружено почти 22 500 устройств Ivanti Connect Secure, доступных из Интернета. Однако доподлинно неизвестно, сколько из них на самом деле подвержены активно эксплуатируемой уязвимости.
Раскрытие CVE-2024-21893 компанией Ivanti Для просмотра ссылки Войдиили Зарегистрируйся выпуском обновлений безопасности для двух других уязвимостей «нулевого дня», затрагивающих те же продукты. Эти недостатки безопасности использовались группой китайских шпионов для установки веб-оболочек и бэкдоров на скомпрометированные устройства. Пик заражений пришёлся на середину января.
В связи с активной эксплуатацией нескольких критических уязвимостей «нулевого дня», отсутствием эффективных средств защиты и обновлений безопасности для некоторых версий продуктов, агентство CISA даже приказало федеральным агентствам США Для просмотра ссылки Войдиили Зарегистрируйся Ivanti Connect Secure и Policy Secure VPN. Устройства могут быть повторно подключены к сети только после сброса до заводских настроек и обновления до последней версии прошивки.
Рекомендация распространяется и на частные организации, которым следует внимательно отнестись к безопасности своих систем Ivanti и общему доверию к их сетевой среде.
Массовая эксплуатация уязвимости в серверах Ivanti Connect Secure и Policy Secure, обозначенная как Для просмотра ссылки Войди
Первое предупреждение от компании Ivanti было выпущено 31 января, когда уязвимость получила статус «нулевого дня» из-за ограниченной активной эксплуатации, затрагивающей небольшое количество клиентов.
Теперь же, Для просмотра ссылки Войди
2 февраля исследователи из Rapid7 Для просмотра ссылки Войди
На сегодняшний день исследователями обнаружено почти 22 500 устройств Ivanti Connect Secure, доступных из Интернета. Однако доподлинно неизвестно, сколько из них на самом деле подвержены активно эксплуатируемой уязвимости.
Раскрытие CVE-2024-21893 компанией Ivanti Для просмотра ссылки Войди
В связи с активной эксплуатацией нескольких критических уязвимостей «нулевого дня», отсутствием эффективных средств защиты и обновлений безопасности для некоторых версий продуктов, агентство CISA даже приказало федеральным агентствам США Для просмотра ссылки Войди
Рекомендация распространяется и на частные организации, которым следует внимательно отнестись к безопасности своих систем Ivanti и общему доверию к их сетевой среде.
- Источник новости
- www.securitylab.ru