Skoči na vsebino

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Objavljeno: 10.1.2024 22:35
Zadnja sprememba: 11.1.2024 08:55

Povzetek

Ivanti je 10.1.2024 objavil obvestilo o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu. Ranljivost naj bi se od začetka decembra 2023 že izkoriščala v posameznih napadih. Popravki še niso na voljo, priporočljivi so mitigacijski ukrepi.

Podatki o ranljivostih

CVEOpisCVSS
CVE-2024-21887Ranljivost izogibanja avtentikaciji v spletni komponenti Ivanti Connect Secure (9.x, 22.x) in Ivanti Policy Secure omogoča oddaljenemu napadalcu dostop do omejenih virov z zaobidom kontrolnih pregledov.8,2
CVE-2023-46805Ranljivost vstavljanja ukazov v spletni komponenti Ivanti Connect Secure (9.x, 22.x) in Ivanti Policy Secure avtenticiranemu administratorju omogoča pošiljanje posebej pripravljenih zahtevkov in izvrševanje poljubnih ukazov v napravi. To ranljivost je mogoče izkoristiti prek interneta.9,1

Ranljivi sistemi

Ranljivi so vsi podprti sistemi: verzije 9.x in 22.x.

Ukrepi

Uradnih popravkov še ni na voljo. Datumi izdaje popravkov so objavljeni na spletni strani proizvajalca.

Mitigacija ranljivosti je mogoča z uvozom datoteke mitigation.release.20240107.1.xml, ki je na voljo skrbnikom sistemov preko “download” portala. Uvoz te datoteke ima lahko vpliv na delovanje posameznih funkcij sistema, natančen opis vplivov je na spletni stani proizvajalca.

Ivanti poleg tega priporoča izvedbo zunanjega preverjanja (external integrity checker tool – ICT), skupaj s stalnim monitoriranjem.

Izvedba mitigacijskih ukrepov ne odpravi posledic morebitne predhodne zlorabe, zato priporočamo izvedbo analize morebitne zlorabe sistema. Skrbniki si pri tem lahko pomagajo z natančnim opisom analize nekaterih od zlorabljenih naprav na spletni strani Volexity. Najbolj tipični indikatorji zlorabe so:

  • izbrisani logi in/ali onemogočeno logiranje (sploh v primeru, če je bilo logiranje omogočeno);
  • zahteve za datoteke v netipičnih poteh;
  • detekcije s strani orodja Integrity Checker Tool (ICT).

Upravljalcem sistemov svetujemo takojšnjo izvedbo mitigacijskih ukrepov in analizo morebitne zlorabe sistema. V primeru zaznave izrabe ranljivosti o tem čimprej obvestite Ivanti in SI-CERT in sprožite postopke odzivanja na omrežne incidente. Po izdaji popravkov je potrebno le-te čimprej namestiti.

Ker je obravnava ranljivosti trenutno v zgodnji fazi, lahko v prihodnjih dneh pričakujemo dodatne informacije glede ranljivosti in odprave le-te.

Zunanje povezave

Preberite tudi

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Več

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več