Varovanie pred kritickými zraniteľnosťami v produktoch od spoločnosti Ivanti

11. januára 2024

Spoločnosť Ivanti informovala o dvoch kritických zraniteľnostiach vo svojich produktoch Ivanti Connect Secure (predtým Pulse Secure) a Ivanti Policy Secure VPN.

Zraniteľnosti, identifikované ako CVE-2023-46805 (CVSS 8.2) a CVE-2024-21887 (CVSS 9.1), sa týkajú všetkých podporovaných verzií produktov. Zneužitie zraniteľností umožňuje neautentifikované vzdialené spustenie kódu v napadnutých zariadeniach.

Podľa informácií výrobcu a bezpečnostných výskumníkov spoločnosti Volexity sú tieto zraniteľnosti v súčasnosti aktívne zneužívané najmenej od 3. decembra 2023. Útočníci vedia zneužítím zraniteľností získať prístup na zariadenie bez znalosti prihlasovacieho mena a hesla, bez nutnosti použiť akúkoľvek viacfaktorovú autentifikáciu a následne zo zariadenia ukradnúť konfiguračné údaje, upraviť existujúce súbory, sťahovať vzdialené súbory, zriadiť reverzný tunel z VPN zariadenia Ivanti a vykonávať zo zariadenia ďalšie útoky na vnútornú sieť organizácie, v ktorej sa napadnuté zariadenie nachádza.

Spoločnosť Volexity uviedla, že hackerská skupina tiež upravila JavaScript súbor používaný komponentom Web SSL VPN zariadenia s cieľom zaznamenávať stlačené klávesy a exfiltrovať prihlasovacie údaje používateľov prihlasujúcich sa do siete VPN. Okrem toho prispôsobili existujúci softvér zariadenia, čo umožňovalo vykonávanie príkazov aj bez opätovného zneužitia predmetných zraniteľností a pridali vlastný webový shell nazvaný GLASSTOKEN.

Na zraniteľnosti zatiaľ neexistuje bezpečnostná záplata (patch). Je však dostupné dočasné náhradné riešenie (mitigácia), ktoré spočíva v importe jedného súboru cez administračné rozhranie zariadenia. Dočasné riešenie má negatívny dopad na niektoré funkcie zariadenia, vrátane:

Dopad na administráciu a monitoring cez REST API (webové administračné rozhranie je stále funkčné).
JSAM funkcionalita bude pre koncových používateľov obmedzená.
Profiler a Remote Profiler budú mať znížený výkon, avšak autentifikácia a prihlásenie je stále možné.
Funkcia “UEBA adaptive authentication” bude po aplikovaní dočasného riešenia nedostupná.
Tento zoznam nemusí byť presný a vyčerpávajúci. Odporúčame konzultovať stránku výrobcu, kde sú všetky obmedzenia detailne uvedené.

Spoločnosť publikovala detailný časový harmonogram, kedy sprístupní aktualizácie jednotlivých verzií produktov, ktoré problém vyčerpávajúco vyriešia.

Odporúčania

Na preverenie či vaše Ivanti zariadenie bolo kompromitované, skontrolujte najskôr prístupové logy na vašich ostatných zariadeniach v sieti za čo najdlhšie obdobie, najmenej však od začiatku decembra 2023. Ak ste zaznamenali nepovolený pokus o prístup z Ivanti zariadenia (obzvlášť z jeho manažmentovej IP adresy),
- v žiadnom prípade nerobte akékoľvek zásahy do potenciálne kompromitovaného zariadenia, neprihlasujte sa do jeho administrácie ani ho nereštartujte, aby sa predišlo zahladeniu stôp
- a bezodkladne kontaktujte Národné centrum kybernetickej bezpečnosti SK-CERT
následne odporúčame preveriť integritu zariadenia prostredníctvom Ivanti external integrity checkera. Tento krok spôsobí reštart zariadenia, preto je potrebné ho vykonať lokálne. V prípade zistení postupujte obdobne ako v prvom kroku – zdržte sa ďalšej práce so zariadením a bezodkladne kontaktujte NCKB SK-CERT,
následne odporúčame aplikovať mitigáciu podľa https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US alebo kompletne odpojiť zariadenie od siete
po aplikovaní mitigácie vykonajte zmenu všetkých hesiel a kľúčov na dotknutom systéme, ako aj na iných systémoch, na ktorých ste používali rovnaké heslá alebo kľúče.
Odporúčame sledovať stránku výrobcu a po vydaní bezpečnostných záplat bezodkladne aktualizovať zasiahnuté systémy. Výrobca uvádza, že bezpečnostné záplaty budú dostupné najneskôr v poslednom týždni januára 2024.

Zdroje

« Späť na zoznam

Zdroje

Dôležité odkazy