Az Ivanti figyelmeztette a rendszergazdákat, hogy a kárenyhítés alkalmazása után ne változtassanak az eszközkonfigurációkon, mert így ismét sebezhetővé válnak a 0-day sebezhetőséget kihasználó támadásokkal szemben.
Bár a vállalat nem közölt további részleteket, azt mondta, hogy az eszközkonfigurációk változtatása egy webes szolgáltatás valamint az alkalmazott kárenyhítés leállását okozhatja.
Amikor a konfiguráció módosul, az leállítja egy webszolgáltatás működését, és érvényteleníti a mitigációt. Az Ivanti vállalat még nem osztotta meg, hogy a kárenyhítő XML újbóli alkalmazása szintén a működésének leállását okozza-e, bár ez valószínűnek tűnik, mivel a feltétel minden alkalommal bekövetkezik, amikor új konfigurációt telepítenek egy készülékre.
A figyelmeztetés azután érkezett, hogy a CISA kiadta a 2024. évi első sürgősségi irányelvet, amely elrendeli, hogy az amerikai ügynökségek azonnal alkalmazzanak enyhítéseket az Ivanti Connect Secure és Policy Secure két 0-day hibájára, amelyeket több fenyegető szereplő kihasznált.
Az Ivanti ICS és IPS készülékek legalább december óta célpontjai a CVE-2023-46805 hitelesítés megkerülési hibát és a CVE-2024-21887 parancsinjekciós hibát tartalmazó nagyszabású támadásoknak.
Ha a két sérülékenységet összekapcsolják, a támadók oldalirányú mozgást tesznek lehetővé a megtámadott hálózatokon belül, adatokat gyűjthetnek és szivárogtathatnak ki, valamint backdoorok telepítésével tartós rendszerelérést biztosíthatnak a megtámadott eszközökhöz.
Bár a vállalat még nem adott ki biztonsági javításokat, olyan kárenyhítési intézkedéseket tett közzé, amelyek megakadályozzák a támadási kísérleteket, valamint helyreállítási utasításokat, amelyek célja, hogy segítsék a rendszergazdákat az érintett készülékek helyreállításában és üzembe helyezésében.
A támadók a Volexity és a GreyNoise szerint XMRig kriptopénz bányászokat és Rust-alapú malware payload-okat is telepítettek a veszélyeztetett eszközökre.
A Mandiant öt egyedi kártevő törzset is talált, amelyeket a feltört ügyfelek rendszerein telepítettek a hitelesítő adatok ellopására, további rosszindulatú payload-ok droppolására és webshell telepítésére.
A támadók számos áldozat, köztük világszerte kormányzati és katonai szervezetek, nemzeti távközlési vállalatok, védelmi vállalkozók, technológiai vállalatok, banki, pénzügyi és számviteli szervezetek, valamint repülőgépipari, repülési és mérnöki cégek fiók- és munkamenet-adatait gyűjtötték be és lopták el a veszélyeztetett hálózatokról.
Az áldozatok mérete is jelentősen változik, a kisvállalkozásoktól a világ legnagyobb szervezeteiig, köztük több Fortune 500-as vállalatig az iparágak széles skáláján.
