Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 2 Febbraio 2024 11:19
Prima che gli sviluppatori Ivanti avessero il tempo di correggere le vulnerabilità zero-day scoperte all’inizio di gennaio nei prodotti Connect Secure VPN e Policy Secure, si è saputo della scoperta di due nuovi bug 0-day, che interessavano anche i gateway Connect Secure, Policy Secure e ZTA. Inoltre, una delle vulnerabilità è già utilizzata dai criminali informatici.
Ricordiamo che il mese scorso sono stati rilevati dei bug in Ivanti Connect Secure VPN e Policy Secure, che sono stati oggetto di attacchi massicci. Le vulnerabilità CVE-2023-46805 e CVE-2024-21887 consentono il bypass dell’autenticazione e l’inserimento di comandi arbitrari.
Gli sviluppatori hanno impiegato quasi un mese intero per creare e rilasciare le patch per questi 0-day. Tuttavia, subito dopo il rilascio di queste correzioni, l’azienda ha avvertito di una nuova minaccia: due nuovi 0-day.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La prima vulnerabilità zero-day (CVE-2024-21893) è un problema di falsificazione di richieste lato server nel componente SAML. La vulnerabilità consente di aggirare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili. Una seconda vulnerabilità (CVE-2024-21888) è stata scoperta nel componente web dei gateway e consente agli aggressori di aumentare i privilegi al livello di amministratore.
“Nell’ambito della nostra indagine in corso sulle vulnerabilità di Ivanti Connect Secure, Ivanti Policy Secure e gateway ZTA segnalate il 10 gennaio, abbiamo identificato nuove vulnerabilità. Questi problemi riguardano tutte le versioni supportate (9.xe 22.x)“. Ha affermato la società in una nota. “Al momento non disponiamo di informazioni relative al fatto che CVE-2024-21888 abbia interessato alcun cliente. Finora siamo a conoscenza solo di un numero limitato di clienti presi di mira da CVE-2024-21893.”
Va osservato che l’azienda prevede “un forte aumento della portata degli attacchi non appena le informazioni sulle vulnerabilità saranno rese pubbliche”. Ivanti ha già rilasciato patch per diverse versioni di ZTA e Connect Secure, eliminando entrambi i problemi. Ha anche pubblicato istruzioni su come proteggersi da queste vulnerabilità per quei dispositivi che sono ancora in attesa di patch.
Allo stesso tempo, l’azienda ha invitato i clienti a ripristinare le impostazioni di fabbrica dei dispositivi vulnerabili prima di installare le patch per impedire agli aggressori di tentare di prendere piede nella rete tra un aggiornamento e l’altro. Secondo gli specialisti di Shadowserver, attualmente sulla rete sono disponibili più di 22.000 istanze VPN ICS, di cui oltre 7.200 si trovano negli Stati Uniti.
Inoltre, Shadowserver tiene traccia delle istanze VPN Ivanti compromesse in tutto il mondo. E solo il 31 gennaio 2024 sono stati identificati più di 390 dispositivi compromessi.
A causa della “minaccia significativa” e del rischio significativo di una violazione della sicurezza, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato a tutte le agenzie federali di “disconnettere tutte le istanze di Ivanti Connect Secure e Ivanti Policy Secure dalle reti dell’agenzia il prima possibile” ed entro e non oltre le ore 23:59 del 2 febbraio 2024.
Una volta disattivati i dispositivi, le agenzie dovrebbero monitorare i propri sistemi per individuare eventuali segni di compromissione. Dovrebbero monitorare i servizi di autenticazione e gestione delle identità a rischio, isolare gli ambienti aziendali e verificare i livelli di accesso agli account.
Per riportare online i dispositivi Ivanti, CISA consiglia di esportare le configurazioni, eseguire ripristini di fabbrica, aggiornare i dispositivi alle versioni software con patch, reimportare le configurazioni di backup e revocare tutti i certificati, chiavi e password.
Inoltre, le agenzie federali sulle cui reti erano in esecuzione i prodotti Ivanti interessati dovrebbero considerare tutti gli account di dominio associati come compromessi, disabilitare i dispositivi connessi/registrati o eseguire una doppia reimpostazione della password su tutti gli account, revocare i ticket Kerberos e revocare i token cloud.
Redazione
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009