Az Ivanti nyilvánosságra hozott két nulladik napi sérülékenységet, a Connect Secure (ICS) és Policy Secure-ben, amelyeket a kihasználva a távoli támadók tetszőleges parancsokat hajthatnak végre.
CVE-2023-46805: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure webes komponensének hitelesítés megkerülési sebezhetősége lehetővé teszi egy távoli támadó számára, hogy az ellenőrzések megkerülésével hozzáférjen korlátozott és bizalmas erőforrásokhoz.
CVE-2024-21887: Az Ivanti Connect Secure (9.x, 22.x) és az Ivanti Policy Secure webes komponenseiben lévő parancsinjekciós (command injection) sebezhetőség lehetővé teszi, hogy egy hitelesített rendszergazda speciális kéréseket küldjön és tetszőleges parancsokat hajtson végre a készüléken.
„Ha a CVE-2024-21887-et a CVE-2023-46805-tel együtt használják, a kihasználáshoz nincs szükség hitelesítésre, és lehetővé teszi a támadó számára, hogy rosszindulatú kéréseket küldjön és tetszőleges parancsokat hajtson végre a rendszeren” – mondta az Ivanti.
A vállalat szerint a javítások szakaszosan lesznek elérhetőek, az első verzió a tervek szerint január 22-én, a végleges verzió pedig február 19-én lesz elérhető az ügyfelek számára.
Amíg a patchek nem állnak rendelkezésre, a nulladik napi hibák a mitigation.release.20240107.1.xml fájl importálásával enyhíthetők, amely az Ivanti letöltési portálján keresztül áll az ügyfelek rendelkezésére.
Az Ivanti szerint a két 0-day sérülékenységet már aktívan kihasználják kisszámú ügyfelet célzó támadásokban.
A Volexity fenyegetéselemző vállalat, amely decemberben észlelte a 0-day kihasználását, úgy véli, hogy a támadó egy kínai állam által támogatott csoport.
Az Ivanti termékeit világszerte több mint 40 000 vállalat használja informatikai eszközeinek és rendszereinek kezelésére.
A témában Intéztünk is készített riasztást, amely ezen a linken olvasható.
