SK-CERT Bezpečnostné varovanie V20240111-01

Bezpečnostná zraniteľnosť s označením CVE-2023-46805 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému.
Kritická bezpečnostná zraniteľnosť s označením CVE-2024-21887 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami administrátora prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitie uvedených zraniteľností v sekvencii vzdialenému neautentifikovanému útočníkovi umožňuje získať úplnú kontrolu nad zasiahnutým systémom.

Zraniteľnosti sú aktívne zneužívané útočníkmi minimálne od decembra 2023. Kompromitované inštancie útočník zneužíva na hlbší prienik do siete a ďalších systémov. V rámci kompromitovaných systémov zneužíva rôzne nástroje vykonávanie škodlivej aktivity ako napr. modifikácia a vytváranie súborov, získavanie, exfiltrácia prihlasovacích údajov, laterálny pohyb. Útočník za účelom maskovania svojej aktivity vymazáva logy a deaktivuje logovanie zariadenia.

Pozn. zraniteľnosti v produkte Ivanti Neurons for ZTA je možné zneužiť len počas prvotnej konfigurácie zariadení, pokiaľ nie sú napojené na ZTA controller

Administrátorom odporúčame:
– sledovať stránky výrobcu a po vydaní bezpečnostných záplat bezodkladne vykonať aktualizáciu zasiahnutých systémov
– pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, zraniteľnosti mitigovať podľa odporúčaní od výrobcu, ktoré môžete nájsť na https://forums.ivanti.com/s/articleKB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gatewayslanguage=en_US
– vykonať zmenu všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč
– preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti
– zariadenia preveriť prostredníctvom Ivanti external integrity checkera

V prípade pozitívnych nálezov z preverovania IOC, integrity checkera a podozrení na kompromitáciu systémov odporúčame kontaktovať výrobcu za účelom zaistenia obrazov disku a pamäte zasiahnutých zariadení, vykonať ich plnú forenznú analýzu a incident nahlásiť na Národné centrum kybernetickej bezpečnosti SK-CERT.