Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20240111-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.1
Identifikátor
Ivanti Connect Secure, Policy Secure a Neurons for ZTA – aktívne zneužívané zero-day zraniteľnosti
Popis
Spoločnosť Ivanti a bezpečnostní výskumníci zverejnili informácie o zero-day zraniteľnostiach v produktoch Ivanti Connect Secure (predtým známe ako Pulse Connect Secure), Ivanti Policy Secure Gateways a Neurons for ZTA, z ktorých jedna je označená ako kritická.

Bezpečnostná zraniteľnosť s označením CVE-2023-46805 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému.
Kritická bezpečnostná zraniteľnosť s označením CVE-2024-21887 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami administrátora prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitie uvedených zraniteľností v sekvencii vzdialenému neautentifikovanému útočníkovi umožňuje získať úplnú kontrolu nad zasiahnutým systémom.

Zraniteľnosti sú aktívne zneužívané útočníkmi minimálne od decembra 2023. Kompromitované inštancie útočník zneužíva na hlbší prienik do siete a ďalších systémov. V rámci kompromitovaných systémov zneužíva rôzne nástroje vykonávanie škodlivej aktivity ako napr. modifikácia a vytváranie súborov, získavanie, exfiltrácia prihlasovacích údajov, laterálny pohyb. Útočník za účelom maskovania svojej aktivity vymazáva logy a deaktivuje logovanie zariadenia.
Dátum prvého zverejnenia varovania
10.01.2023
CVE
CVE-2023-46805, CVE-2024-21887
IOC
Indikátory kompromitácie, popis aktivít vykonávaných útočníkom a YARA pravidlá na ich detekciu môžete nájsť na webovej stránke spoločnosti VOLEXITY:
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/.
Zasiahnuté systémy
Ivanti ICS vo všetkých verziách
Ivanti Policy Secure vo všetkých verziách
Ivanti Neurons for ZTA vo všetkých verziách

Pozn. zraniteľnosti v produkte Ivanti Neurons for ZTA je možné zneužiť len počas prvotnej konfigurácie zariadení, pokiaľ nie sú napojené na ZTA controller
Následky
Neoprávnený prístup do systému
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Na uvedené zraniteľnosti v súčasnosti nie sú dostupné bezpečnostné záplaty. Spoločnosť IVANTI pracuje na vydaní príslušných aktualizácií. Prvé verzie záplat by mali byť dostupné v poslednom týždni januára 2024.

Administrátorom odporúčame:
– sledovať stránky výrobcu a po vydaní bezpečnostných záplat bezodkladne vykonať aktualizáciu zasiahnutých systémov
– pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, zraniteľnosti mitigovať podľa odporúčaní od výrobcu, ktoré môžete nájsť na https://forums.ivanti.com/s/articleKB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gatewayslanguage=en_US
– vykonať zmenu všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč
– preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti
– zariadenia preveriť prostredníctvom Ivanti external integrity checkera

V prípade pozitívnych nálezov z preverovania IOC, integrity checkera a podozrení na kompromitáciu systémov odporúčame kontaktovať výrobcu za účelom zaistenia obrazov disku a pamäte zasiahnutých zariadení, vykonať ich plnú forenznú analýzu a incident nahlásiť na Národné centrum kybernetickej bezpečnosti SK-CERT.
Zdroje
https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2025 Všetky práva vyhradené - Posledná aktualizácia 10. 09. 2025 20:49