La vulnerabilità Ivanti 2024, identificata come CVE-2024-21893 e che interessa Ivanti Connect Secure e Ivanti Policy Secure, è attualmente esposta a uno sfruttamento diffuso da parte di numerosi avversari a causa di un difetto SSRF (server-side request forgery).
CVE-2024-21893: dettagli della vulnerabilità Ivanti 2024
Il 31 gennaio 2024, Ivanti ha inizialmente emesso avvisi relativi a questa vulnerabilità all’interno dei componenti SAML del gateway, designandola come zero-day a causa del suo sfruttamento attivo, seppure limitato, che interessava alcuni client. La violazione di CVE-2024-21893 consente agli autori dei reati di eludere le misure di autenticazione e ottenere l’accesso alle aree riservate sui modelli interessati (versioni 9.x e 22.x).
Shadowserver, un’entità di monitoraggio delle minacce, riferisce di aver osservato un aumento dei tentativi di sfruttamento, con 170 indirizzi IP univoci che prendono di mira la vulnerabilità Ivanti 2024.
We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver) February 4, 2024
La frequenza e l’intensità di questi attacchi su CVE-2024-21893 superano quelle osservate con altre vulnerabilità Ivanti che sono state recentemente affrontate o mitigate, evidenziando un perno significativo nella strategia dell’aggressore.
La diffusione di un exploit proof-of-concept (PoC) da parte di ricercatori del Rapid7 il 2 febbraio 2024, ha probabilmente facilitato questi attacchi. Tuttavia, i risultati di Shadowserver suggeriscono che gli aggressori stavano impiegando tattiche simili per sfruttare la vulnerabilità Ivanti 2024 ore prima che i risultati di Rapid7 fossero resi pubblici, indicando che gli aggressori avevano imparato preventivamente l’arte di sfruttare CVE-2024-21893 per ottenere accesso illimitato e non autenticato ai vulnerabili Ivanti. endpoint.
L’analisi di ShadowServer rivela che circa 22.500 dispositivi Ivanti Connect Secure sono attualmente accessibili online, anche se il numero esatto vulnerabile a questa specifica falla rimane incerto.
Un complesso dilemma di sicurezza si è sviluppato con la rivelazione di CVE-2024-21893, in coincidenza con il rilascio di patch di sicurezza che affrontano due ulteriori vulnerabilità zero-day che interessano gli stessi prodotti Ivanti: CVE-2023-46805 e CVE-2024-21887, inizialmente identificate di Ivanti il 10 gennaio 2024. Ivanti ha prontamente condiviso le contromisure provvisorie dopo la loro scoperta. Queste vulnerabilità sono state sfruttate dall’entità di spionaggio cinese nota come UTA0178/UNC5221, utilizzandole per impiantare webshell e backdoor all’interno di sistemi compromessi. Al culmine di questo sforzo di infiltrazione, a metà gennaio sono stati colpiti circa 1.700 dispositivi.
Nonostante i primi tentativi di intervento di Ivanti, gli aggressori sono riusciti ad aggirare queste misure di sicurezza iniziali, manomettendo persino i file di configurazione dei dispositivi. Ciò ha portato Ivanti a ritardare la distribuzione degli aggiornamenti firmware, originariamente prevista per il 22 gennaio, per affrontare efficacemente questa minaccia avanzata.
Ivanti Policy Sono interessate le apparecchiature Secure VPN
Nel contesto del continuo sfruttamento di queste gravi vulnerabilità zero-day, aggravato dall’assenza di robuste contromisure e aggiornamenti per alcune versioni dei prodotti interessati, la Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha incaricato le agenzie federali di interrompere le connessioni con tutte le policy Ivanti Appliance VPN sicure interessate. La riconnessione è consentita esclusivamente per i dispositivi che hanno subito un ripristino delle impostazioni di fabbrica e che sono stati aggiornati alla versione firmware più recente. Tuttavia, le versioni precedenti che rimangono vulnerabili continuano a non avere un aggiornamento correttivo.
Tutto quello che devi sapere Risoluzione della violazione dei dati di Equifax
Questa direttiva è consigliata anche agli enti del settore privato, sebbene la conformità non sia obbligatoria. Pertanto, le organizzazioni sono invitate a valutare meticolosamente il livello di sicurezza delle proprie soluzioni Ivanti e l’affidabilità complessiva dei propri ambienti di rete.
Vulnerabilità come CVE-2024-21893 mettono in luce le complesse sfide che le organizzazioni devono affrontare nella salvaguardia delle infrastrutture digitali. Lo sfruttamento diffuso della vulnerabilità Ivanti 2024 sottolinea l’importanza fondamentale di misure rapide e proattive per colmare le lacune di sicurezza note e rafforzare le difese. Si tratta di un forte promemoria per le entità di tutti i settori a rimanere vigili, monitorare continuamente i propri sistemi per attività insolite e aderire alle migliori pratiche in materia di igiene della sicurezza informatica. Man mano che gli avversari diventano più sofisticati, anche le nostre strategie di difesa devono evolversi, garantendo l’integrità e la resilienza dei nostri ecosistemi digitali contro la minaccia sempre presente dello sfruttamento informatico.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
