Skoči na vsebino

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Objavljeno: 10.1.2024 22:35
Zadnja sprememba: 11.1.2024 08:55

Povzetek

Ivanti je 10.1.2024 objavil obvestilo o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu. Ranljivost naj bi se od začetka decembra 2023 že izkoriščala v posameznih napadih. Popravki še niso na voljo, priporočljivi so mitigacijski ukrepi.

Podatki o ranljivostih

CVEOpisCVSS
CVE-2024-21887Ranljivost izogibanja avtentikaciji v spletni komponenti Ivanti Connect Secure (9.x, 22.x) in Ivanti Policy Secure omogoča oddaljenemu napadalcu dostop do omejenih virov z zaobidom kontrolnih pregledov.8,2
CVE-2023-46805Ranljivost vstavljanja ukazov v spletni komponenti Ivanti Connect Secure (9.x, 22.x) in Ivanti Policy Secure avtenticiranemu administratorju omogoča pošiljanje posebej pripravljenih zahtevkov in izvrševanje poljubnih ukazov v napravi. To ranljivost je mogoče izkoristiti prek interneta.9,1

Ranljivi sistemi

Ranljivi so vsi podprti sistemi: verzije 9.x in 22.x.

Ukrepi

Uradnih popravkov še ni na voljo. Datumi izdaje popravkov so objavljeni na spletni strani proizvajalca.

Mitigacija ranljivosti je mogoča z uvozom datoteke mitigation.release.20240107.1.xml, ki je na voljo skrbnikom sistemov preko “download” portala. Uvoz te datoteke ima lahko vpliv na delovanje posameznih funkcij sistema, natančen opis vplivov je na spletni stani proizvajalca.

Ivanti poleg tega priporoča izvedbo zunanjega preverjanja (external integrity checker tool – ICT), skupaj s stalnim monitoriranjem.

Izvedba mitigacijskih ukrepov ne odpravi posledic morebitne predhodne zlorabe, zato priporočamo izvedbo analize morebitne zlorabe sistema. Skrbniki si pri tem lahko pomagajo z natančnim opisom analize nekaterih od zlorabljenih naprav na spletni strani Volexity. Najbolj tipični indikatorji zlorabe so:

  • izbrisani logi in/ali onemogočeno logiranje (sploh v primeru, če je bilo logiranje omogočeno);
  • zahteve za datoteke v netipičnih poteh;
  • detekcije s strani orodja Integrity Checker Tool (ICT).

Upravljalcem sistemov svetujemo takojšnjo izvedbo mitigacijskih ukrepov in analizo morebitne zlorabe sistema. V primeru zaznave izrabe ranljivosti o tem čimprej obvestite Ivanti in SI-CERT in sprožite postopke odzivanja na omrežne incidente. Po izdaji popravkov je potrebno le-te čimprej namestiti.

Ker je obravnava ranljivosti trenutno v zgodnji fazi, lahko v prihodnjih dneh pričakujemo dodatne informacije glede ranljivosti in odprave le-te.

Zunanje povezave

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več