Varovanie pred kritickými zraniteľnosťami v produktoch od spoločnosti Ivanti

Spoločnosť Ivanti informovala o dvoch kritických zraniteľnostiach vo svojich produktoch  Ivanti Connect Secure (predtým Pulse Secure) a Ivanti Policy Secure VPN

Zraniteľnosti, identifikované ako CVE-2023-46805 (CVSS 8.2) a CVE-2024-21887 (CVSS 9.1), sa týkajú všetkých podporovaných verzií produktov. Zneužitie zraniteľností umožňuje neautentifikované vzdialené spustenie kódu v napadnutých zariadeniach.

Podľa informácií výrobcu a bezpečnostných výskumníkov spoločnosti Volexity sú tieto zraniteľnosti v súčasnosti aktívne zneužívané najmenej od 3. decembra 2023. Útočníci vedia zneužítím zraniteľností získať prístup na zariadenie bez znalosti prihlasovacieho mena a hesla, bez nutnosti použiť akúkoľvek viacfaktorovú autentifikáciu a následne zo zariadenia ukradnúť konfiguračné údaje, upraviť existujúce súbory, sťahovať vzdialené súbory, zriadiť reverzný tunel z VPN zariadenia Ivanti​​​​ a vykonávať zo zariadenia ďalšie útoky na vnútornú sieť organizácie, v ktorej sa napadnuté zariadenie nachádza.

Spoločnosť Volexity uviedla, že hackerská skupina tiež upravila JavaScript súbor používaný komponentom Web SSL VPN zariadenia s cieľom zaznamenávať stlačené klávesy a exfiltrovať prihlasovacie údaje používateľov prihlasujúcich sa do siete VPN. Okrem toho prispôsobili existujúci softvér zariadenia, čo umožňovalo vykonávanie príkazov​​​​ aj bez opätovného zneužitia predmetných zraniteľností a pridali vlastný webový shell nazvaný GLASSTOKEN.

Na zraniteľnosti zatiaľ neexistuje bezpečnostná záplata (patch). Je však dostupné dočasné náhradné riešenie (mitigácia), ktoré spočíva v importe jedného súboru cez administračné rozhranie zariadenia. Dočasné riešenie má negatívny dopad na niektoré funkcie zariadenia, vrátane:

  • Dopad na administráciu a monitoring cez REST API (webové administračné rozhranie je stále funkčné).
  • JSAM funkcionalita bude pre koncových používateľov obmedzená.
  • Profiler a Remote Profiler budú mať znížený výkon, avšak autentifikácia a prihlásenie je stále možné.
  • Funkcia “UEBA adaptive authentication” bude po aplikovaní dočasného riešenia nedostupná.
  • Tento zoznam nemusí byť presný a vyčerpávajúci. Odporúčame konzultovať stránku výrobcu, kde sú všetky obmedzenia detailne uvedené.

Spoločnosť publikovala detailný časový harmonogram, kedy sprístupní aktualizácie jednotlivých verzií produktov, ktoré problém vyčerpávajúco vyriešia.

Odporúčania

  • Na preverenie či vaše Ivanti zariadenie bolo kompromitované, skontrolujte najskôr prístupové logy na vašich ostatných zariadeniach v sieti za čo najdlhšie obdobie, najmenej však od začiatku decembra 2023. Ak ste zaznamenali nepovolený pokus o prístup z Ivanti zariadenia (obzvlášť z jeho manažmentovej IP adresy), 
    • v žiadnom prípade nerobte akékoľvek zásahy do potenciálne kompromitovaného zariadenia, neprihlasujte sa do jeho administrácie ani ho nereštartujte, aby sa predišlo zahladeniu stôp
    • a bezodkladne kontaktujte Národné centrum kybernetickej bezpečnosti SK-CERT
  • následne odporúčame preveriť integritu zariadenia prostredníctvom Ivanti external integrity checkera. Tento krok spôsobí reštart zariadenia, preto je potrebné ho vykonať lokálne. V prípade zistení postupujte obdobne ako v prvom kroku – zdržte sa ďalšej práce so zariadením a bezodkladne kontaktujte NCKB SK-CERT,
  • následne odporúčame aplikovať mitigáciu podľa https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US alebo kompletne odpojiť zariadenie od siete
  • po aplikovaní mitigácie vykonajte  zmenu všetkých hesiel a kľúčov na dotknutom systéme, ako aj na iných systémoch, na ktorých ste používali rovnaké heslá alebo kľúče.
  • Odporúčame sledovať stránku výrobcu a po vydaní bezpečnostných záplat bezodkladne aktualizovať zasiahnuté systémy. Výrobca uvádza, že bezpečnostné záplaty budú dostupné najneskôr v poslednom týždni januára 2024.

Zdroje

 


« Späť na zoznam