Новости Ivanti в предсмертной агонии: как серия критических уязвимостей подорвала доверие к компании

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
PoC для CVE-2024-21893 усугубил положение, под ударом около 22 500 устройств.


gfsgize0ra2gg80p0037xxcg6z4lyd9k.jpg


Массовая эксплуатация уязвимости в серверах Ivanti Connect Secure и Policy Secure, обозначенная как Для просмотра ссылки Войди или Зарегистрируйся , вызывает тревогу среди специалистов по кибербезопасности. Этот серьёзный недочёт влияет на версии программного обеспечения 9.x и 22.x позволяет злоумышленникам обходить аутентификацию и получать доступ к ограниченным ресурсам уязвимых устройств.

Первое предупреждение от компании Ivanti было выпущено 31 января, когда уязвимость получила статус «нулевого дня» из-за ограниченной активной эксплуатации, затрагивающей небольшое количество клиентов.

Теперь же, Для просмотра ссылки Войди или Зарегистрируйся служба мониторинга угроз Shadowserver , уязвимость активно используется злоумышленниками. Специалисты зафиксировали попытки её эксплуатации со 170 уникальных IP-адресов. Объем атак на данную уязвимость значительно превышает активность по другим недавно исправленным проблемам Ivanti, что указывает на явную смену фокуса атакующими.

2 февраля исследователи из Rapid7 Для просмотра ссылки Войди или Зарегистрируйся в открытый доступ PoC - эксплойт , который, без сомнения, также способствовал увеличению числа атак. Хотя Shadowserver Для просмотра ссылки Войди или Зарегистрируйся , что методы, аналогичные опубликованным, использовались злоумышленниками и за несколько часов до выхода отчёта Rapid7. Это свидетельствует о том, что хакеры уже и сами нашли способы использования CVE-2024-21893 для неограниченного доступа без аутентификации к уязвимым точкам Ivanti.

На сегодняшний день исследователями обнаружено почти 22 500 устройств Ivanti Connect Secure, доступных из Интернета. Однако доподлинно неизвестно, сколько из них на самом деле подвержены активно эксплуатируемой уязвимости.

Раскрытие CVE-2024-21893 компанией Ivanti Для просмотра ссылки Войди или Зарегистрируйся выпуском обновлений безопасности для двух других уязвимостей «нулевого дня», затрагивающих те же продукты. Эти недостатки безопасности использовались группой китайских шпионов для установки веб-оболочек и бэкдоров на скомпрометированные устройства. Пик заражений пришёлся на середину января.

В связи с активной эксплуатацией нескольких критических уязвимостей «нулевого дня», отсутствием эффективных средств защиты и обновлений безопасности для некоторых версий продуктов, агентство CISA даже приказало федеральным агентствам США Для просмотра ссылки Войди или Зарегистрируйся Ivanti Connect Secure и Policy Secure VPN. Устройства могут быть повторно подключены к сети только после сброса до заводских настроек и обновления до последней версии прошивки.

Рекомендация распространяется и на частные организации, которым следует внимательно отнестись к безопасности своих систем Ivanti и общему доверию к их сетевой среде.
 
Источник новости
www.securitylab.ru

Похожие темы