.
A Ivanti finalmente lançou a primeira rodada de patches para gateways Connect Secure e Policy Secure atingidos por vulnerabilidades, mas ao fazer isso também encontrou dois dias zero adicionais, um dos quais está sob exploração ativa.
A notícia chega dias depois da Ivanti, que lança seus patches em um cronograma escalonado, dizer que o primeiro lote de correções – previsto para semana passada – foi adiado e muitas versões permanecem sem correções oficiais.
Os patches agora estão disponíveis para as versões 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 e ZTA versão 22.6R1.3, o que será uma boa notícia para administradores que temem se tornar o próximo alvo entre um número crescente de vítimas.
Os administradores são aconselhados “com muita cautela” a também redefinir seus dispositivos de fábrica antes de aplicar o patch. Isso evita qualquer possibilidade de um invasor obter persistência de atualização. Ivanti disse que o processo levará até quatro horas para ser concluído.
Dado o estado de exploração destas vulnerabilidades, é evidente que estes patches devem ser aplicados o mais rapidamente possível.
Para recapitular, no início deste mês, pesquisadores de segurança da Volexity divulgaram a exploração de dois bugs de dia zero que eles acreditavam ser realizada por um grupo desconhecido com suspeita de ligação com a China. Os pesquisadores disseram que as vulnerabilidades tornam “trivial” para invasores remotos não autenticados conseguirem a execução de código.
Na época, Ivanti disse que se acreditava que menos de dez vítimas haviam sido violadas, mas isso aumentou rapidamente e passou a ser explorado em massa em poucos dias.
A Ivanti também disse que desenvolveria patches não por ordem de versão, mas de acordo com a versão com mais instalações. Esperava-se que os patches caíssem entre 22 de janeiro e 19 de fevereiro, mas alguns deles foram ligeiramente adiados.
Enquanto isso, os clientes foram aconselhados a aplicar a mitigação disponível no portal de download da Ivanti e usar a versão externa do verificador de integridade interna (ICT) da Ivanti, juntamente com práticas proativas de caça a ameaças para monitorar suspeitas de comprometimento.
Para piorar a situação, esta semana a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) disse que a mitigação da Ivanti foi contornada por alguns invasores sofisticados.
“Os atores de ameaças continuam a aproveitar vulnerabilidades nos gateways Ivanti Connect Secure e Policy Secure para capturar credenciais e/ou descartar webshells que permitem maior comprometimento das redes corporativas”, diz o alerta.
“Alguns agentes de ameaças desenvolveram recentemente soluções alternativas para os atuais métodos de mitigação e detecção e foram capazes de explorar pontos fracos, mover-se lateralmente e aumentar privilégios sem detecção. A CISA está ciente de casos em que agentes de ameaças sofisticados subverteram as TIC externas, minimizando ainda mais os rastros da sua intrusão.”
A CISA sugere que as organizações devem continuar a procurar proativamente ameaças aos sistemas conectados aos dispositivos vulneráveis da Ivanti. Também aconselhou monitorar a autenticação de contas, o uso e os serviços de gerenciamento de identidade que poderiam ser expostos, isolando-os dos recursos da empresa sempre que possível.
Ao lançar a rodada de patches de hoje, a Ivanti também atualizou sua mitigação em uma tentativa de manter os invasores afastados por enquanto. Isso pode ser aplicado através do portal de download como o anterior.
No entanto, o fornecedor não mencionou quaisquer alterações feitas nas TIC externas, apesar da inteligência atual indicar que os invasores podem contornar suas capacidades de detecção.
Mais dias zero?
Essa mitigação também se aplicará aos dois dias zero adicionais anunciados hoje, que afetam todas as versões suportadas dos gateways Connect Secure, Policy Secure e ZTA.
“Ao tomar conhecimento dessas vulnerabilidades, mobilizamos recursos imediatamente e o patch está disponível agora através do portal de download padrão do Ivanti Connect Secure”, disse Ivanti em um comunicado.
“É fundamental que você tome medidas imediatamente para garantir que esteja totalmente protegido.”
Rastreados como CVE-2024-21888 e CVE-2024-21893, ambos possuem pontuações CVSS de alta gravidade. As descrições de Ivanti para ambos são:
-
CVE-2024-21888: Uma vulnerabilidade de escalonamento de privilégios no componente web do Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) permite que um usuário eleve privilégios aos de um administrador
-
CVE-2024-21893: Uma vulnerabilidade de falsificação de solicitação no lado do servidor no componente SAML do Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons for ZTA permite uma invasor acesse certos recursos restritos sem autenticação
Ivanti disse que não há evidências que sugiram que o CVE-2024-21888 esteja sob exploração ativa, mas um pequeno número de clientes foi atingido pela falha de falsificação de solicitação do lado do servidor.
Não está claro se a descoberta dessas duas vulnerabilidades adicionais foi a causa do atraso geral no cronograma do patch. Strong The One pediu a Ivanti para comentar.
Um porta-voz da Ivanti enviou uma declaração:
“A segurança de nossos clientes é nossa principal prioridade. Como parte de nossa investigação contínua, descobrimos duas vulnerabilidades adicionais no Ivanti Connect Secure e no Ivanti Policy Secure. Incluímos uma correção para essas vulnerabilidades e vulnerabilidades identificadas anteriormente no patch lançado hoje, e Os patches planejados para lançamento em versões adicionais também incluirão uma correção abrangente. E os patches lançados em 31 de janeiro cobrem a maioria dos nossos clientes. Também fornecemos uma nova mitigação no melhor interesse dos clientes enquanto as versões de patch restantes estão em desenvolvimento.
“Incentivamos fortemente os clientes a aplicar o patch em sua versão assim que estiver disponível. Embora versões adicionais de patch estejam em desenvolvimento, eles devem aplicar a mitigação e executar o ICT interno e externo.” ®
.
