SK-CERT Bezpečnostné varovanie V20240111-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.1 |
Identifikátor |
Ivanti Connect Secure, Policy Secure a Neurons for ZTA – aktívne zneužívané zero-day zraniteľnosti |
Popis |
Spoločnosť Ivanti a bezpečnostní výskumníci zverejnili informácie o zero-day zraniteľnostiach v produktoch Ivanti Connect Secure (predtým známe ako Pulse Connect Secure), Ivanti Policy Secure Gateways a Neurons for ZTA, z ktorých jedna je označená ako kritická.
Bezpečnostná zraniteľnosť s označením CVE-2023-46805 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie neoprávneného prístupu do systému. Zraniteľnosti sú aktívne zneužívané útočníkmi minimálne od decembra 2023. Kompromitované inštancie útočník zneužíva na hlbší prienik do siete a ďalších systémov. V rámci kompromitovaných systémov zneužíva rôzne nástroje vykonávanie škodlivej aktivity ako napr. modifikácia a vytváranie súborov, získavanie, exfiltrácia prihlasovacích údajov, laterálny pohyb. Útočník za účelom maskovania svojej aktivity vymazáva logy a deaktivuje logovanie zariadenia. |
Dátum prvého zverejnenia varovania |
10.01.2023 |
CVE |
CVE-2023-46805, CVE-2024-21887 |
IOC |
Indikátory kompromitácie, popis aktivít vykonávaných útočníkom a YARA pravidlá na ich detekciu môžete nájsť na webovej stránke spoločnosti VOLEXITY: https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/. |
Zasiahnuté systémy |
Ivanti ICS vo všetkých verziách Ivanti Policy Secure vo všetkých verziách Ivanti Neurons for ZTA vo všetkých verziách Pozn. zraniteľnosti v produkte Ivanti Neurons for ZTA je možné zneužiť len počas prvotnej konfigurácie zariadení, pokiaľ nie sú napojené na ZTA controller |
Následky |
Neoprávnený prístup do systému Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Na uvedené zraniteľnosti v súčasnosti nie sú dostupné bezpečnostné záplaty. Spoločnosť IVANTI pracuje na vydaní príslušných aktualizácií. Prvé verzie záplat by mali byť dostupné v poslednom týždni januára 2024.
Administrátorom odporúčame: V prípade pozitívnych nálezov z preverovania IOC, integrity checkera a podozrení na kompromitáciu systémov odporúčame kontaktovať výrobcu za účelom zaistenia obrazov disku a pamäte zasiahnutých zariadení, vykonať ich plnú forenznú analýzu a incident nahlásiť na Národné centrum kybernetickej bezpečnosti SK-CERT. |
« Späť na zoznam