Бесплатно Экспресс-аудит сайта:

12.01.2024

Двойной удар по софту Ivanti: одновременная эксплуатация новых 0-day развязывает хакерам руки

Компания Ivanti раскрыла наличие двух zero-day уязвимостей в своих продуктах Connect Secure и Policy Secure, которые были успешно использованы злоумышленниками в ходе реальной атаки. Эти уязвимости позволяют удалённым атакующим выполнить произвольные команды на целевых шлюзах.

Первая уязвимость, отслеживаемая под идентификатором CVE-2023-46805 , представляет собой обход аутентификации в веб-компоненте шлюзов, позволяя атакующим получить доступ к ограниченным ресурсам, обойдя контрольные проверки.

Вторая уязвимость, отслеживаемая под идентификатором CVE-2024-21887 , — это уязвимость внедрения команды, позволяющая аутентифицированным администраторам выполнять произвольные команды на уязвимых устройствах, отправляя специально подготовленные запросы.

Когда обе нулевые уязвимости объединяются в одну атаку, как сообщили эксперты компании Volexity , злоумышленники могут выполнять произвольные команды на всех поддерживаемых версиях затронутых продуктов.

«Если CVE-2024-21887 используется совместно с CVE-2023-46805, для эксплуатации не требуется аутентификация, и хакеры могут создавать злонамеренные запросы и выполнять произвольные команды в системе», — объяснили в Ivanti.

Специалисты зафиксировали атаки с применением обеих уязвимостей в минувшем декабре и предварительно связали их с китайской национальной группировкой злоумышленников.

«Сейчас мы обеспечиваем смягчение последствий, пока патч находится в разработке. Крайне важно, чтобы клиенты немедленно предприняли все необходимые действия для обеспечения своей полной защиты», — добавили в Ivanti.

Компания сообщает, что патчи будут выходить поэтапно до конца февраля. А пока они недоступны, нулевые дни могут быть смягчены путём импорта средств защиты с помощью файла «mitigation.release.20240107.1.xml», доступного клиентам через портал загрузки Ivanti.

Согласно результатам поиска Shodan , предоставленным экспертом по безопасности Кевином Бомонтом, более 15 000 шлюзов Connect Secure и Policy Secure в настоящее время доступны онлайн. А так как патч до сих пор не выпущен, можно с уверенностью предположить, что большинство из них уязвимо.

В июле государственные хакеры уже использовали две других zero-day уязвимости ( CVE-2023-35078 и CVE-2023-35081 ) в программном обеспечении Ivanti EPMM для вторжения в сети нескольких норвежских государственных организаций.

Через месяц хакеры использовали третью уязвимость ( CVE-2023-38035 ) в программном обеспечении Ivanti Sentry для обхода аутентификации API на уязвимых устройствах.

Продукты Ivanti являются крайне популярными и используются для управления IT-активами и системами более чем 40 000 компаниями по всему миру.