Ďalšia zero-day zraniteľnosť v produktoch Ivanti
Spoločnosť Ivanti vydala bezpečnostné aktualizácie pre dve kritické zraniteľnosti v produktoch Connect Secure, Policy Secure a Neurons. Zero-day zraniteľnosť CVE-2024-21893 je aktívne zneužívaná čínskou špionážnou skupinou UTA0178/UNC5221 na inštaláciu webového shellu a zadných vrátok na zraniteľných zariadeniach.
Zraniteľné systémy:
- Ivanti Connect Secure 21.12, 21.9, 22.1, 22.2, 22.3, 22.4, 22.6, 9.0, 9.1
- Ivanti Policy Secure 22.1, 22.2, 22.3, 22.4, 22.5, 22.6, 9.0, 9.1
- Ivanti Neurons for ZTA
Opis činnosti:
CVE-2024-21888 (CVSS skóre 8,8)
Závažná zraniteľnosť CVE-2024-21888 sa nachádza vo webovej súčasti Connect Secure a Policy Secure. Úspešné zneužitie zraniteľnosti umožňuje útočníkovi zvýšiť oprávnenia na úroveň administrátora.
CVE-2024-21893 (CVSS skóre 8,2)
Zero-day zraniteľnosť CVE-2024-21893 je chyba umožňujúca falšovanie požiadaviek na strane servera SSRF (Server Side Request Forgery) v komponente SAML (Security Assertion Markup Language). Úspešné zneužitie umožňuje útočníkovi neautentifikovaný prístup k obmedzeným zdrojom na zraniteľných zariadeniach.
Zraniteľnosť CVE-2024-21893 je aktívne zneužívaná čínskou špionážnou skupinou UTA0178/UNC5221 na inštaláciu webového shellu a zadných vrátok.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Eskalácia privilégií
- Obídenie bezpečnostných prvkov
Odporúčania:
Bezodkladná aktualizácia na verziu:
Ivanti Connect Secure (verzie 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 a 22.5R2.2)
Ivanti Policy Secure verzia 22.5R1.1 a
Ivanti Neurons for ZTA verzia 22.6R1.3.
Pokiaľ nemôžete použiť aktualizáciu, zraniteľnosti je možné dočasne mitigovať importovaním súboru mitigation.release.20240107.1.xml prostredníctvom portálu na stiahnutie. Konkrétny postup nájdete tu.
Spoločnosť CISA odporúča federálnym agentúram odpojiť všetky zariadenia Ivanti Connect Secure a Policy Secure VPN. Do siete by sa mali opätovne pripojiť len zariadenia, ktoré boli obnovené do továrenského stavu a aktualizované na najnovšiu verziu firmvéru.
Odkazy:
- https://nvd.nist.gov/vuln/detail/CVE-2024-21888
- https://www.bleepingcomputer.com/news/security/newest-ivanti-ssrf-zero-day-now-under-mass-exploitation/
- https://nvd.nist.gov/vuln/detail/CVE-2024-21893
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21893
- https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis
- https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
- https://socradar.io/vulnerability-in-ivanti-connect-secure-policy-secure-and-neurons-for-zta-exploited-cve-2024-21888-cve-2024-21893/https://www.cisa.gov/news-events/alerts/2024/01/30/updated-new-software-updates-and-mitigations-defend-against-exploitation-ivanti-connect-secure-and