Az Ivanti egy új, a Connect Secure, Policy Secure és ZTA átjárókat érintő hitelesítés megkerülési sebezhetőségre figyelmeztetett, és arra kérte az adminokat, hogy azonnal patcheljék az eszközeiket.
A hiba (CVE-2024-22024) a gateway-ek SAML komponensének XXE (XML eXternal Entities) gyengeségéből adódik, amely lehetővé teszi a távoli támadók számára, hogy a nem javított készülékek korlátozott erőforrásaihoz hozzáférjenek alacsony komplexitású támadásokban, felhasználói beavatkozás vagy hitelesítés nélkül.
„Nincs bizonyítékunk arra, hogy aktívan kihasználnák a CVE-2024-22024-et. Mindazonáltal javasolt, hogy azonnal tegyenek lépéseket a teljes körű védelem biztosítása érdekében. A többi támogatott verzió felhasználói számára a január 31-én kiadott kárenyhítés sikeresen blokkolja a sebezhető végpontokat a fennmaradó javítások megjelenéséig” – mondta Ivanti.
A Shadowserver naponta figyeli a világszerte veszélyeztetett Ivanti Connect Secure VPN példányokat is, és 2024. február 7-én közel 250 veszélyeztetett eszközt fedezett fel.
Az Ivanti VPN készülékek 2023 decembere óta célpontjai a CVE-2023-46805 hitelesítés megkerülési hibát és a CVE-2024-21887 parancsinjekciós hibát kihasználó támadásoknak.
A vállalat figyelmeztetett egy harmadik, aktívan kihasznált zero day-re (egy szerveroldali kéréshamisítási sebezhetőség, amelyet most CVE-2024-21893 néven követnek nyomon), amelyet most szintén tömegesen használnak ki támadók, lehetővé téve, hogy megkerüljék a nem javított ICS, IPS és ZTA gateway-ek hitelesítését.
Az érintett termékverziókhoz január 31-én jelentek meg biztonsági javítások. Az Ivanti a még javításra váró szoftververziókat futtató eszközök számára is nyújt enyhítési utasításokat a folyamatban lévő támadások ellen.
Az Ivanti felszólította az ügyfeleket, hogy patchelés előtt állítsák vissza gyári állapotba az összes sérülékeny eszközt, hogy megakadályozzák a támadók kísérleteit a szoftverfrissítések közötti tartós perzisztencia szerzésre.
