Objavljeno: 10.1.2024 22:35
Zadnja sprememba: 11.1.2024 08:55
Povzetek
Ivanti je 10.1.2024 objavil obvestilo o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu. Ranljivost naj bi se od začetka decembra 2023 že izkoriščala v posameznih napadih. Popravki še niso na voljo, priporočljivi so mitigacijski ukrepi.
Podatki o ranljivostih
CVE | Opis | CVSS |
CVE-2024-21887 | Ranljivost izogibanja avtentikaciji v spletni komponenti Ivanti Connect Secure (9.x, 22.x) in Ivanti Policy Secure omogoča oddaljenemu napadalcu dostop do omejenih virov z zaobidom kontrolnih pregledov. | 8,2 |
CVE-2023-46805 | Ranljivost vstavljanja ukazov v spletni komponenti Ivanti Connect Secure (9.x, 22.x) in Ivanti Policy Secure avtenticiranemu administratorju omogoča pošiljanje posebej pripravljenih zahtevkov in izvrševanje poljubnih ukazov v napravi. To ranljivost je mogoče izkoristiti prek interneta. | 9,1 |
Ranljivi sistemi
Ranljivi so vsi podprti sistemi: verzije 9.x in 22.x.
Ukrepi
Uradnih popravkov še ni na voljo. Datumi izdaje popravkov so objavljeni na spletni strani proizvajalca.
Mitigacija ranljivosti je mogoča z uvozom datoteke mitigation.release.20240107.1.xml, ki je na voljo skrbnikom sistemov preko “download” portala. Uvoz te datoteke ima lahko vpliv na delovanje posameznih funkcij sistema, natančen opis vplivov je na spletni stani proizvajalca.
Ivanti poleg tega priporoča izvedbo zunanjega preverjanja (external integrity checker tool – ICT), skupaj s stalnim monitoriranjem.
Izvedba mitigacijskih ukrepov ne odpravi posledic morebitne predhodne zlorabe, zato priporočamo izvedbo analize morebitne zlorabe sistema. Skrbniki si pri tem lahko pomagajo z natančnim opisom analize nekaterih od zlorabljenih naprav na spletni strani Volexity. Najbolj tipični indikatorji zlorabe so:
- izbrisani logi in/ali onemogočeno logiranje (sploh v primeru, če je bilo logiranje omogočeno);
- zahteve za datoteke v netipičnih poteh;
- detekcije s strani orodja Integrity Checker Tool (ICT).
Upravljalcem sistemov svetujemo takojšnjo izvedbo mitigacijskih ukrepov in analizo morebitne zlorabe sistema. V primeru zaznave izrabe ranljivosti o tem čimprej obvestite Ivanti in SI-CERT in sprožite postopke odzivanja na omrežne incidente. Po izdaji popravkov je potrebno le-te čimprej namestiti.
Ker je obravnava ranljivosti trenutno v zgodnji fazi, lahko v prihodnjih dneh pričakujemo dodatne informacije glede ranljivosti in odprave le-te.
Zunanje povezave
- https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways
- https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
- https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/