Dve zero-day zraniteľnosti v produktoch Ivanti
Spoločnosť Ivanti poukázala na dve aktívne zneužívané zero-day zraniteľnosti v produktoch Ivanti. Zraniteľnosti sú aktívne zneužívané a boli zneužité hackerskou skupinou napojenou na čínsku vládu.
Zraniteľné systémy:
Ivanti Connect Secure a Policy Secure 9.x, 22.x
Opis činnosti:
Dve zero-day zraniteľnosti, CVE-2023-46805 a CVE-2024-24887, sa nachádzajú vo webovej súčasti produktov Ivanti Connect Secure a Policy Secure. Tieto zraniteľnosti boli aktívne zneužívané hackerskou skupinou napojenou na čínsku vládu.
CVE-2023-46805 (CVSS skóre 8,2)
Zraniteľnosť CVE-2023-46805 umožňuje útočníkovi obísť autentifikáciu, čo umožňuje získať prístup k chráneným zdrojom.
CVE-2024-21887 (CVSS skóre 9,1)
Kritická zraniteľnosť CVE-2024-24887 umožňuje autentifikovanému útočníkovi s administrátorskými oprávneniami vykonávať ľubovoľné príkazy na napadnutom zariadení.
Úspešné zneužitie zraniteľností pozorované pri reálnych útokoch umožnilo útočníkom ukradnúť konfiguračné údaje, upraviť súbory a vytvoriť vzdialený tunel zo zariadenia VPN. Útočník tiež vykonal zmeny, aby sa vyhol kontrole integrity systému a pridal zadné vrátka do legitímneho súboru CGI v zariadení. Útočníci môžu získať prístup k citlivým údajom, šíriť škodlivý softvér alebo dokonca prevziať kontrolu nad napadnutým zariadením.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vzdialené vykonávanie kódu
- Obídenie bezpečnostných prvkov
Odporúčania:
Zraniteľnosti je možné mitigovať importovaním súboru mitigation.release.20240107.1.xml prostredníctvom portálu na stiahnutie. Konkrétny postup nájdete tu.
Odkazy:
https://thehackernews.com/2024/01/chinese-hackers-exploit-zero-day-flaws.html
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
https://www.itnews.com.au/news/ivanti-patches-two-exploited-zero-day-bugs-603958