Varovanie pred kritickými zraniteľnosťami v produktoch od spoločnosti Ivanti
Spoločnosť Ivanti informovala o dvoch kritických zraniteľnostiach vo svojich produktoch Ivanti Connect Secure (predtým Pulse Secure) a Ivanti Policy Secure VPN.
Zraniteľnosti, identifikované ako CVE-2023-46805 (CVSS 8.2) a CVE-2024-21887 (CVSS 9.1), sa týkajú všetkých podporovaných verzií produktov. Zneužitie zraniteľností umožňuje neautentifikované vzdialené spustenie kódu v napadnutých zariadeniach.
Podľa informácií výrobcu a bezpečnostných výskumníkov spoločnosti Volexity sú tieto zraniteľnosti v súčasnosti aktívne zneužívané najmenej od 3. decembra 2023. Útočníci vedia zneužítím zraniteľností získať prístup na zariadenie bez znalosti prihlasovacieho mena a hesla, bez nutnosti použiť akúkoľvek viacfaktorovú autentifikáciu a následne zo zariadenia ukradnúť konfiguračné údaje, upraviť existujúce súbory, sťahovať vzdialené súbory, zriadiť reverzný tunel z VPN zariadenia Ivanti a vykonávať zo zariadenia ďalšie útoky na vnútornú sieť organizácie, v ktorej sa napadnuté zariadenie nachádza.
Spoločnosť Volexity uviedla, že hackerská skupina tiež upravila JavaScript súbor používaný komponentom Web SSL VPN zariadenia s cieľom zaznamenávať stlačené klávesy a exfiltrovať prihlasovacie údaje používateľov prihlasujúcich sa do siete VPN. Okrem toho prispôsobili existujúci softvér zariadenia, čo umožňovalo vykonávanie príkazov aj bez opätovného zneužitia predmetných zraniteľností a pridali vlastný webový shell nazvaný GLASSTOKEN.
Na zraniteľnosti zatiaľ neexistuje bezpečnostná záplata (patch). Je však dostupné dočasné náhradné riešenie (mitigácia), ktoré spočíva v importe jedného súboru cez administračné rozhranie zariadenia. Dočasné riešenie má negatívny dopad na niektoré funkcie zariadenia, vrátane:
- Dopad na administráciu a monitoring cez REST API (webové administračné rozhranie je stále funkčné).
- JSAM funkcionalita bude pre koncových používateľov obmedzená.
- Profiler a Remote Profiler budú mať znížený výkon, avšak autentifikácia a prihlásenie je stále možné.
- Funkcia “UEBA adaptive authentication” bude po aplikovaní dočasného riešenia nedostupná.
- Tento zoznam nemusí byť presný a vyčerpávajúci. Odporúčame konzultovať stránku výrobcu, kde sú všetky obmedzenia detailne uvedené.
Spoločnosť publikovala detailný časový harmonogram, kedy sprístupní aktualizácie jednotlivých verzií produktov, ktoré problém vyčerpávajúco vyriešia.
Odporúčania
- Na preverenie či vaše Ivanti zariadenie bolo kompromitované, skontrolujte najskôr prístupové logy na vašich ostatných zariadeniach v sieti za čo najdlhšie obdobie, najmenej však od začiatku decembra 2023. Ak ste zaznamenali nepovolený pokus o prístup z Ivanti zariadenia (obzvlášť z jeho manažmentovej IP adresy),
- v žiadnom prípade nerobte akékoľvek zásahy do potenciálne kompromitovaného zariadenia, neprihlasujte sa do jeho administrácie ani ho nereštartujte, aby sa predišlo zahladeniu stôp
- a bezodkladne kontaktujte Národné centrum kybernetickej bezpečnosti SK-CERT
- následne odporúčame preveriť integritu zariadenia prostredníctvom Ivanti external integrity checkera. Tento krok spôsobí reštart zariadenia, preto je potrebné ho vykonať lokálne. V prípade zistení postupujte obdobne ako v prvom kroku – zdržte sa ďalšej práce so zariadením a bezodkladne kontaktujte NCKB SK-CERT,
- následne odporúčame aplikovať mitigáciu podľa https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US alebo kompletne odpojiť zariadenie od siete
- po aplikovaní mitigácie vykonajte zmenu všetkých hesiel a kľúčov na dotknutom systéme, ako aj na iných systémoch, na ktorých ste používali rovnaké heslá alebo kľúče.
- Odporúčame sledovať stránku výrobcu a po vydaní bezpečnostných záplat bezodkladne aktualizovať zasiahnuté systémy. Výrobca uvádza, že bezpečnostné záplaty budú dostupné najneskôr v poslednom týždni januára 2024.
Zdroje
- https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US (zraniteľnosť)
- https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways (verzie softvéru)
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US (mitigácia, kompletný návod)
- https://forums.ivanti.com/s/article/KB44755?language=en_US (nástroj na kontrolu integrity)
- https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/.
- https://www.securityweek.com/volexity-catches-chinese-hackers-exploiting-ivanti-vpn-zero-days/
- https://thehackernews.com/2024/01/chinese-hackers-exploit-zero-day-flaws.html.
- https://www.tenable.com/blog/cve-2023-46805-cve-2024-21887-zero-day-vulnerabilities-exploited-in-ivanti-connect-secure-and.
« Späť na zoznam