Varovanie pred kritickými zraniteľnosťami v produktoch od spoločnosti Ivanti

Spoločnosť Ivanti informovala o dvoch kritických zraniteľnostiach vo svojich produktoch  Ivanti Connect Secure (predtým Pulse Secure) a Ivanti Policy Secure VPN. 

Zraniteľnosti, identifikované ako CVE-2023-46805 (CVSS 8.2) a CVE-2024-21887 (CVSS 9.1), sa týkajú všetkých podporovaných verzií produktov. Zneužitie zraniteľností umožňuje neautentifikované vzdialené spustenie kódu v napadnutých zariadeniach.

Podľa informácií výrobcu a bezpečnostných výskumníkov spoločnosti Volexity sú tieto zraniteľnosti v súčasnosti aktívne zneužívané najmenej od 3. decembra 2023. Útočníci vedia zneužítím zraniteľností získať prístup na zariadenie bez znalosti prihlasovacieho mena a hesla, bez nutnosti použiť akúkoľvek viacfaktorovú autentifikáciu a následne zo zariadenia ukradnúť konfiguračné údaje, upraviť existujúce súbory, sťahovať vzdialené súbory, zriadiť reverzný tunel z VPN zariadenia Ivanti​​​​ a vykonávať zo zariadenia ďalšie útoky na vnútornú sieť organizácie, v ktorej sa napadnuté zariadenie nachádza.

Spoločnosť Volexity uviedla, že hackerská skupina tiež upravila JavaScript súbor používaný komponentom Web SSL VPN zariadenia s cieľom zaznamenávať stlačené klávesy a exfiltrovať prihlasovacie údaje používateľov prihlasujúcich sa do siete VPN. Okrem toho prispôsobili existujúci softvér zariadenia, čo umožňovalo vykonávanie príkazov​​​​ aj bez opätovného zneužitia predmetných zraniteľností a pridali vlastný webový shell nazvaný GLASSTOKEN.

Na zraniteľnosti zatiaľ neexistuje bezpečnostná záplata (patch). Je však dostupné dočasné náhradné riešenie (mitigácia), ktoré spočíva v importe jedného súboru cez administračné rozhranie zariadenia. Dočasné riešenie má negatívny dopad na niektoré funkcie zariadenia, vrátane:

• Dopad na administráciu a monitoring cez REST API (webové administračné rozhranie je stále funkčné).
• JSAM funkcionalita bude pre koncových používateľov obmedzená.
• Profiler a Remote Profiler budú mať znížený výkon, avšak autentifikácia a prihlásenie je stále možné.
• Funkcia “UEBA adaptive authentication” bude po aplikovaní dočasného riešenia nedostupná.
• Tento zoznam nemusí byť presný a vyčerpávajúci. Odporúčame konzultovať stránku výrobcu, kde sú všetky obmedzenia detailne uvedené.

Spoločnosť publikovala detailný časový harmonogram, kedy sprístupní aktualizácie jednotlivých verzií produktov, ktoré problém vyčerpávajúco vyriešia.

Odporúčania

• Na preverenie či vaše Ivanti zariadenie bolo kompromitované, skontrolujte najskôr prístupové logy na vašich ostatných zariadeniach v sieti za čo najdlhšie obdobie, najmenej však od začiatku decembra 2023. Ak ste zaznamenali nepovolený pokus o prístup z Ivanti zariadenia (obzvlášť z jeho manažmentovej IP adresy), 
  • v žiadnom prípade nerobte akékoľvek zásahy do potenciálne kompromitovaného zariadenia, neprihlasujte sa do jeho administrácie ani ho nereštartujte, aby sa predišlo zahladeniu stôp
  • a bezodkladne kontaktujte Národné centrum kybernetickej bezpečnosti SK-CERT
• následne odporúčame preveriť integritu zariadenia prostredníctvom Ivanti external integrity checkera. Tento krok spôsobí reštart zariadenia, preto je potrebné ho vykonať lokálne. V prípade zistení postupujte obdobne ako v prvom kroku – zdržte sa ďalšej práce so zariadením a bezodkladne kontaktujte NCKB SK-CERT,
• následne odporúčame aplikovať mitigáciu podľa https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US alebo kompletne odpojiť zariadenie od siete
• po aplikovaní mitigácie vykonajte  zmenu všetkých hesiel a kľúčov na dotknutom systéme, ako aj na iných systémoch, na ktorých ste používali rovnaké heslá alebo kľúče.
• Odporúčame sledovať stránku výrobcu a po vydaní bezpečnostných záplat bezodkladne aktualizovať zasiahnuté systémy. Výrobca uvádza, že bezpečnostné záplaty budú dostupné najneskôr v poslednom týždni januára 2024.

Zdroje

• https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US (zraniteľnosť)
• https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways (verzie softvéru)
• https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US (mitigácia, kompletný návod)
• https://forums.ivanti.com/s/article/KB44755?language=en_US (nástroj  na kontrolu integrity)
• https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/.
• https://www.securityweek.com/volexity-catches-chinese-hackers-exploiting-ivanti-vpn-zero-days/
• https://thehackernews.com/2024/01/chinese-hackers-exploit-zero-day-flaws.html.
• https://www.tenable.com/blog/cve-2023-46805-cve-2024-21887-zero-day-vulnerabilities-exploited-in-ivanti-connect-secure-and.

 

« Späť na zoznam