Δύο zero-day ευπάθειες απειλούν τους χρήστες του Ivanti

Της Ελένης Μιχαηλίδου

Οι πελάτες του λογισμικού Ivanti έχουν κληθεί να ακολουθήσουν την – προτεινόμενη από τον προμηθευτή ασφάλειας – λύση, αφού ο πάροχος επιβεβαίωσε ότι υπήρξαν ενεργές εκμεταλλεύσεις δύο zero-day ευπαθειών στις πύλες Connect Secure και Policy Secure. Το Connect Secure είναι ένα προϊόν VPN, ενώ το Policy Secure είναι μια λύση ελέγχου πρόσβασης στο δίκτυο (NAC).

Ο προμηθευτής ασφάλειας Volexity ισχυρίστηκε στις 10 Ιανουαρίου ότι πίσω από τις επιθέσεις βρίσκεται ένας κινεζικός κρατικός φορέας, που εντοπίζεται ως UTA0178. Είπε ότι η κακόβουλη αυτή ομάδα μπορεί να εκμεταλλεύτηκε τα CVE-2023-46805 και CVE-2024-21887 ήδη από τις 3 Δεκεμβρίου 2023, για να τοποθετήσει webshells σε εσωτερικούς και εξωτερικούς διακομιστές ιστού των οργανισμών – θυμάτων.

Οι zero-day ευπάθειες επηρεάζουν όλες τις υποστηριζόμενες εκδόσεις του Ivanti Connect Secure (ICS) – παλαιότερα γνωστού ως Pulse Connect Secure – και των πυλών Ivanti Policy Secure.

Το CVE-2023-46805 είναι μια ευπάθεια παράκαμψης ελέγχου ταυτότητας στο στοιχείο web των δύο προϊόντων, η οποία επιτρέπει σε απομακρυσμένους επιτιθέμενους να έχουν πρόσβαση στο σύστημα, παρακάμπτοντας τους ελέγχους ταυτοποίησης, ανέφερε η Ivanti σε συμβουλευτικό δελτίο.

Το CVE-2024-21887 είναι μια ευπάθεια έγχυσης εντολών στα στοιχεία web των προϊόντων, η οποία επιτρέπει σε έναν πιστοποιημένο διαχειριστή να στείλει ειδικά διαμορφωμένα αιτήματα που εκτελούν αυθαίρετες εντολές στη συσκευή. Μπορεί να γίνει αντικείμενο εκμετάλλευσης μέσω του διαδικτύου.

Τα δύο αυτά φαινόμενα μπορούν να συνδυαστούν με δυνητικά καταστροφικά αποτελέσματα.

«Εάν το CVE-2024-21887 χρησιμοποιηθεί σε συνδυασμό με το CVE-2023-46805, ο επιτιθέμενος προσπερνάει τον έλεγχο ταυτοποίησης και του επιτρέπεται να δημιουργήσει κακόβουλα αιτήματα και να εκτελέσει αυθαίρετες εντολές στο σύστημα», προειδοποίησε η Ivanti.

Τεύχος 426