Alerta: Ivanti Revela 2 Novas Falhas Zero-Day, Uma Sob Exploração Ativa
1 de Fevereiro de 2024

A Ivanti está alertando sobre duas novas falhas de alta gravidade em seus produtos Connect Secure e Policy Secure, uma das quais é dita ter sido alvo de exploração.

A lista de vulnerabilidades é a seguinte -

CVE-2024-21888 (pontuação CVSS: 8.8) - Uma vulnerabilidade de escalada de privilégio no componente web do Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) permite a um usuário elevar privilégios ao de um administrador.

CVE-2024-21893 (pontuação CVSS: 8.2) - Uma vulnerabilidade de falsificação de solicitação do servidor no componente SAML do Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons for ZTA permite a um atacante acessar certos recursos restritos sem autenticação.

A empresa de software com sede em Utah disse que não encontrou evidências de clientes sendo impactados pelo CVE-2024-21888 até agora, mas reconheceu que "a exploração do CVE-2024-21893 parece ser direcionada" e que está "ciente de um número limitado de clientes impactados" pelo problema.

Observou ainda que "espera que o ator da ameaça mude seu comportamento e que espera um aumento acentuado na exploração assim que esta informação se tornar pública".

Em conjunto com a divulgação pública das duas novas vulnerabilidades, a Ivanti lançou correções para as versões Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 e 22.5R1.1, e a versão ZTA 22.6R1.3.

"Por uma abundância de cautela, estamos recomendando como melhor prática que os clientes façam o reset de fábrica do seu aparelho antes de aplicar o patch para evitar que o ator da ameaça ganhe persistência de atualização em seu ambiente", disse.

"Os clientes devem esperar que esse processo leve de 3 a 4 horas."

Como medidas paliativas para lidar com o CVE-2024-21888 e CVE-2024-21893 , os usuários são recomendados a importar o arquivo "mitigation.release.20240126.5.xml".

O desenvolvimento mais recente vem como duas outras falhas no mesmo produto - CVE-2023-46805 e CVE-2024-21887 - têm sido amplamente exploradas por vários atores de ameaças para implantar backdoors, mineradores de criptomoedas e um loader baseado em Rust chamado KrustyLoader.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), em um novo aviso publicado hoje, disse que os adversários estão aproveitando as duas deficiências para capturar credenciais e implantar shells de web que permitem comprometer ainda mais as redes empresariais.

"Alguns atores de ameaças recentemente desenvolveram soluções alternativas para as atuais mitigações e métodos de detecção e conseguiram explorar fraquezas, mover-se lateralmente e escalar privilégios sem detecção", disse a agência.

"Atores de ameaças sofisticados subverteram a ferramenta verificadora de integridade externa (ICT), minimizando ainda mais vestígios de sua intrusão."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...