Не успели разработчики Ivanti исправить уязвимости нулевого дня, обнаруженные в начале января в продуктах Connect Secure VPN и Policy Secure, как стало известно о двух новых 0-day багах, так же затрагивающих Connect Secure, Policy Secure и шлюзы ZTA. Причем одна из уязвимостей уже находится под атаками.
Напомним, что в прошлом месяце стало известно о двух проблемах в Ivanti Connect Secure VPN и Policy Secure, которые подвергались массовым атакам. Уязвимости CVE-2023-46805 и CVE-2024-21887 позволяют обойти аутентификацию и внедрять произвольные команды.
На создание и выпуск патчей для этих для этих 0-day разработчикам понадобился почти целый месяц. Однако сразу после выхода этих исправлений в компании предупредили о новой угрозе: двух новых 0-day проблемах.
Первая уязвимость нулевого дня (CVE-2024-21893) представляет собой проблему request forgery, проявляющуюся на стороне сервера в компоненте SAML. Уязвимость позволяет обходить аутентификацию и получать доступ к определенным ресурсам на уязвимых устройствах.
Вторая уязвимость (CVE-2024-21888) была обнаружена в веб-компоненте шлюзов и позволяет злоумышленникам повысить привилегии до уровня администратора.
«В рамках продолжающегося изучения уязвимостей в Ivanti Connect Secure, Ivanti Policy Secure и шлюзах ZTA, о которых было сообщено 10 января, мы выявили новые уязвимости. Эти проблемы затрагивают все поддерживаемые версии (9.x и 22.x), — говорится в сообщении компании. — На данный момент у нас нет данных о том, что CVE-2024-21888 затронула каких-либо клиентов. Пока нам известно лишь о небольшом количестве клиентов, подвергшихся атакам на CVE-2024-21893».
При этом отмечается, что в компании ожидают «резкого увеличения масштабов атак, как только информация об уязвимостях станет общедоступной».
Ivanti уже выпустила патчи для ряда версий ZTA и Connect Secure, устранив обе проблемы, а также опубликовала инструкции по защите от этих уязвимостей для тех устройств, которые пока только ожидают выхода исправлений. При этом в компании призвали клиентов выполнить сбросить настройки уязвимых устройств до заводских перед установкой исправлений, чтобы помешать попыткам злоумышленников закрепиться в сети между обновлениями.
По информации специалистов Shadowserver, в настоящее время в сети можно найти более 22 000 доступных экзепляров ICS VPN, свыше 7200 из которых находятся в США.
Кроме того, Shadowserver отслеживает скомпрометированные экземпляры Ivanti VPN по всему миру. И только 31 января 2024 года было выявлено более 390 скомпрометированных устройств.
В связи с «существенной угрозой» и значительным риском нарушения безопасности, специалисты Агентства по кибербезопасности и защите инфраструктуры США (CISA) обязали все федеральные ведомства «отключить все экземпляры Ivanti Connect Secure и Ivanti Policy Secure от сетей ведомств как можно скорее», но не позднее 23:59 2 февраля 2024 года.
После отключения устройств ведомствам следует следить за признаками компрометации своих систем, а также следить за службами аутентификации и управления идентификацией, подверженными рискам, изолировать корпоративные среды и провести аудит уровня доступа учетных записей.
Чтобы вернуть устройства Ivanti в строй, CISA рекомендует экспортировать конфигурацию, сбросить настройки на заводские, обновить устройства до исправленных версий ПО, заново импортировать резервные копии конфигураций и отозвать все сертификаты, ключи и пароли.
Более того, федеральные агентства, в сетях которых работали уязвимые продукты Ivanti, должны рассматривать все связанные доменные учетные записи как скомпрометированные, отключить подключенные/зарегистрированные устройства или выполнить двойной сброс пароля для всех аккаунтов, отозвать тикеты Kerberos и облачные токены.