Az Ivanti két újabb, a Connect Secure, Policy Secure és ZTA gateway-eket érintő sebezhetőségre figyelmeztet. Az egyik zero day sérülékenységet már aktívan kihasználják.
A CVE-2024-21893 egy szerveroldali kéréshamisítási sebezhetőség az gateway-ek SAML komponensében, amely lehetővé teszi a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek a sebezhető eszközök korlátozott erőforrásaihoz.
A CVE-2024-21888 a gateway-ek webes komponensében lehetővé teszi a támadók számára, hogy rendszergazdai jogosultságokat szerezzenek.
Ezek a sebezhetőségek az összes támogatott verziót érintik.
Az Ivanti biztonsági javításokat adott ki néhány érintett ZTA és Connect Secure verzióhoz, a javításra váró eszközök számára utasításokat adott ki a hiba elhárítására.
A vállalat két másik, január elején nyilvánosságra hozott zero day-re is adott ki patch-et – egy hitelesítés megkerülésre (CVE-2023-46805) és egy parancsinjekcióra (CVE-2024-21887) -, amelyeket aktív támadásokban rosszindulatú szoftvereket telepítéséhez használtak ki sebezhető ICS, IPS és ZTA gateway-eken. A két hibát összekapcsolva lehetővé teszi a támadók számára, hogy felderítsék a hálózatot és további eszközökhöz szerezzenek hozzáférést áldozatok hálózatain belül, adatokat lopjanak, és back door-ok telepítésével tartós hozzáférést szerezzenek.
Az Ivanti a támadási kísérletek blokkolására irányuló kárenyhítési intézkedéseket és helyreállítási utasításokat is közzétett, amelyek célja, hogy segítsenek a veszélyeztetett eszközök helyreállításában és online állapotba hozásában.
A Shadowserver fenyegetésfigyelő platform jelenleg több mint 24700, az internetről elérhető ICS VPN-t követ (a Shodan több mint 22000 Ivanti ICS VPN-t „lát” online). A platform naponta nyomon követi a világszerte veszélyeztetett Ivanti VPN installációkat is, csak január 30-án több mint 460 veszélyeztetett eszközt fedeztek fel.
Az eddig felfedezett áldozatok listáján világszerte kormányzati és katonai szervezetek, nemzeti távközlési cégek és védelmi vállalkozók, valamint banki, pénzügyi és számviteli szervezetek, továbbá repülőgépipari, repülési és technológiai cégek szerepelnek.
A Volexity és a GreyNoise azt is megfigyelte, hogy a támadók XMRig kriptovaluta bányász és Rust alapú malware payload-okat telepítettek az áldozatok rendszereire.
