A Ivanti está alertando sobre duas novas falhas de alta gravidade em seus produtos Connect Secure e Policy Secure, uma das quais é dita ter sido alvo de exploração.
A lista de vulnerabilidades é a seguinte -
CVE-2024-21888
(pontuação CVSS: 8.8) - Uma vulnerabilidade de escalada de privilégio no componente web do Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) permite a um usuário elevar privilégios ao de um administrador.
CVE-2024-21893
(pontuação CVSS: 8.2) - Uma vulnerabilidade de falsificação de solicitação do servidor no componente SAML do Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons for ZTA permite a um atacante acessar certos recursos restritos sem autenticação.
A empresa de software com sede em Utah disse que não encontrou evidências de clientes sendo impactados pelo
CVE-2024-21888
até agora, mas reconheceu que "a exploração do
CVE-2024-21893
parece ser direcionada" e que está "ciente de um número limitado de clientes impactados" pelo problema.
Observou ainda que "espera que o ator da ameaça mude seu comportamento e que espera um aumento acentuado na exploração assim que esta informação se tornar pública".
Em conjunto com a divulgação pública das duas novas vulnerabilidades, a Ivanti lançou correções para as versões Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 e 22.5R1.1, e a versão ZTA 22.6R1.3.
"Por uma abundância de cautela, estamos recomendando como melhor prática que os clientes façam o reset de fábrica do seu aparelho antes de aplicar o patch para evitar que o ator da ameaça ganhe persistência de atualização em seu ambiente", disse.
"Os clientes devem esperar que esse processo leve de 3 a 4 horas."
Como medidas paliativas para lidar com o
CVE-2024-21888
e
CVE-2024-21893
, os usuários são recomendados a importar o arquivo "mitigation.release.20240126.5.xml".
O desenvolvimento mais recente vem como duas outras falhas no mesmo produto - CVE-2023-46805 e CVE-2024-21887 - têm sido amplamente exploradas por vários atores de ameaças para implantar backdoors, mineradores de criptomoedas e um loader baseado em Rust chamado KrustyLoader.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), em um novo aviso publicado hoje, disse que os adversários estão aproveitando as duas deficiências para capturar credenciais e implantar shells de web que permitem comprometer ainda mais as redes empresariais.
"Alguns atores de ameaças recentemente desenvolveram soluções alternativas para as atuais mitigações e métodos de detecção e conseguiram explorar fraquezas, mover-se lateralmente e escalar privilégios sem detecção", disse a agência.
"Atores de ameaças sofisticados subverteram a ferramenta verificadora de integridade externa (ICT), minimizando ainda mais vestígios de sua intrusão."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...