Предупреждение: злоумышленники обходят некоторые меры по смягчению последствий Ivanti

Киберорганы в США и Австралии выпустили новые предупреждения ИТ-администраторам о необходимости принять дополнительные меры для защиты Ivanti Connect Secure и Policy Secure Gateways. В то же время Иванти сообщил, что в устройствах были обнаружены две новые уязвимости помимо пары, обнаруженной ранее в этом месяце.

Последними уязвимостями являются CVE-2024-21888, уязвимость повышения привилегий, влияющая на Policy Secure, и CVE-2024-21893, уязвимость подделки запросов на стороне сервера, затрагивающая поддерживаемые версии Connect Secure и Policy Secure Gateways.

Ivanti сегодня выпустила патч для Connect Secure (версии 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 и 22.5R1.1) и ZTA версии 22.6R1.3. который закрывает новые отверстия. Будут еще патчи.

«Из соображений предосторожности мы рекомендуем клиентам выполнить заводскую перезагрузку своего устройства перед применением исправления, чтобы злоумышленник не смог получить постоянное обновление в вашей среде», — заявил сегодня утром Иванти. Клиенты должны ожидать, что процесс сброса займет три-четыре часа.

Остальные патчи для поддерживаемых версий по-прежнему будут выпускаться в шахматном порядке, добавляет Иванти.

Австралийский центр кибербезопасности заявил сегодня утром, что ему известны сообщения о том, что злоумышленники разработали обходные пути для некоторых методов смягчения и обнаружения, что привело к сообщениям о продолжающейся деятельности по эксплуатации.

Центр «настоятельно рекомендует организациям, использующим уязвимые продукты Ivanti Connect Secure и Ivanti Policy Secure, проводить расследование и мониторинг потенциального компрометации систем», говорится в предупреждении. ИТ-администраторам следует отслеживать аутентификацию, использование учетных записей и службы управления идентификацией, а также рассмотреть возможность максимально возможной изоляции систем от любых ресурсов предприятия.

США выступили с аналогичным предупреждением во вторник.

«Злоумышленники продолжают использовать уязвимости в Ivanti Connect Secure и Policy Secure Gateways для захвата учетных данных и/или удаления веб-шеллов, что обеспечивает дальнейшую компрометацию корпоративных сетей», — заявило Агентство кибербезопасности и безопасности инфраструктуры США (CISA). «Некоторые злоумышленники недавно разработали обходные пути для существующих методов смягчения и обнаружения и смогли использовать слабые места, двигаться в горизонтальном направлении и повышать привилегии, не будучи обнаруженными. CISA известно о случаях, когда изощренные злоумышленники взломали внешний инструмент проверки целостности (ICT), что еще больше свело к минимуму следы их вторжения».

Если организация использовала шлюзы Ivanti Connect Secure (9.x и 22.x) и Policy Secure в течение последних нескольких недель и/или продолжает использовать эти продукты, CISA рекомендует осуществлять постоянный поиск угроз на любых системах, к которым подключены или недавно подключались. к — аппарат Иванти. Кроме того, в нем говорится, что организации должны отслеживать аутентификацию, использование учетных записей и службы управления идентификацией, которые могут быть раскрыты, и максимально изолировать системы от любых ресурсов предприятия.

После применения исправлений, когда они станут доступны, CISA рекомендует организациям продолжать поиск в своих сетях для обнаружения любых компрометаций, которые могли произойти до внедрения исправлений.

Эти предупреждения о необходимости принятия мер по смягчению последствий появились почти через три недели после того, как Ivanti выпустила первое предупреждение об уязвимости обхода аутентификации (CVE-2023-46805) и уязвимости внедрения команд (CVE-2024-21887) в устройствах.

Также сегодня компания Mandiant опубликовала в своем блоге обновленную информацию об уязвимостях. Компания Mandiant обнаружила факт эксплуатации этих уязвимостей нулевого дня, начиная с 3 декабря 2023 года, предполагаемым субъектом шпионской угрозы, связанным с Китаем.

Мандиант отмечает, что злоумышленник нашел способ обойти рекомендованные Иванти меры по снижению риска, опубликованные 10 января, для первой пары уязвимостей. Этот обход привел к развертыванию пользовательской веб-шелла. Мандиант считает, что деятельность по обходу смягчения последствий носит «весьма целенаправленный, ограниченный характер и отличается от деятельности по массовой эксплуатации после принятия рекомендаций». Однако использование внешнего инструмента проверки целостности (ICT) Ivanti успешно обнаружило наличие новой веб-оболочки.

Мандиант отмечает, что внешние ИКТ Ivanti должны использоваться ИТ-администраторами для просмотра журналов, поскольку они более надежны и устойчивы к несанкционированному вмешательству, чем внутренняя версия.

В блоге также излагаются индикаторы компрометации.