Ivanti alerta sobre zero-days do Connect Secure explorados em ataques
11 de Janeiro de 2024

A Ivanti divulgou dois zero-days do Connect Secure (ICS) e Policy Secure que foram explorados e que podem permitir a executores remotos executar comandos arbitrários em portais segmentados.

A primeira falha de segurança (CVE-2023-46805) é uma burla de autenticação no componente web dos portais, possibilitando aos agressores acessar recursos restritos ao contornar verificações de controle, enquanto a segunda (rastreada como CVE-2024-21887) é uma vulnerabilidade de injeção de comando que permite que os administradores autenticados executem comandos arbitrários em aparelhos vulneráveis, enviando pedidos especialmente elaborados.

Ao encadear os dois zero-days, reportados por Mandiant e Volexity, os agressores podem executar comandos arbitrários em todas as versões suportadas dos produtos impactados.

"Se CVE-2024-21887 for usado em conjunto com CVE-2023-46805, a exploração não requer autenticação e permite que um agente de ameaça elabore pedidos maliciosos e execute comandos arbitrários no sistema", afirmou a Ivanti.

"Estamos fornecendo mitigação agora enquanto o patch está em desenvolvimento para priorizar o melhor interesse de nossos clientes.

É fundamental que você tome medidas imediatas para garantir que esteja totalmente protegido."

A empresa declara que os patches estarão disponíveis em um cronograma escalonado, com "a primeira versão prevista para estar disponível para os clientes na semana de 22 de janeiro e a versão final prevista para estar disponível na semana de 19 de fevereiro."

Até que os patches estejam disponíveis, os zero-days podem ser mitigados importando o arquivo mitigation.release.20240107.1.xml disponível para os clientes por meio do portal de download da Ivanti.

A Ivanti diz que os dois zero-days já foram explorados para ataques reais que visam a um pequeno número de clientes.

A empresa de inteligência de ameaças Volexity, que identificou os zero-days sendo explorados em dezembro, acredita que o atacante é um agente de ameaça apoiado pelo estado Chinês.

"Estamos cientes de menos de 10 clientes impactados pelas vulnerabilidades.

Não podemos discutir os detalhes de nossos clientes", revelou a empresa.

"Vimos evidências de atores de ameaças tentando manipular o verificador de integridade interno da Ivanti (ICT).

Por excesso de cautela, estamos recomendando que todos os clientes executem o ICT externo.

"Com base em nossa análise, a Ivanti não encontrou nenhuma indicação de que esta vulnerabilidade foi introduzida em nosso processo de desenvolvimento de código de forma maliciosa.

Ivanti não tem nenhuma indicação de que foi comprometida."

Conforme relatado pelo Shodan, de acordo com uma string de pesquisa compartilhada pelo especialista em segurança Kevin Beaumont, mais de 15.000 portais Connect Secure (ICS) e Policy Secure estão atualmente expostos online.

​Beaumont também alertou anteriormente que os dois zero-days são usados em ataques e permitem a burla de MFA e a execução de código.

Na semana passada, a Ivanti informou que uma vulnerabilidade crítica de execução de código remoto (RCE) (CVE-2023-39336) em seu software de Gerenciamento de Endpoint (EPM) poderia ser abusada por atacantes não autenticados para sequestrar dispositivos cadastrados ou o servidor principal.

Em julho, hackers de estado exploraram dois outros zero-days ( CVE-2023-35078 e CVE-2023-35081 ) no Gerenciador de Endpoint Móvel da Ivanti (EPMM) para violar as redes de várias organizações governamentais norueguesas.

Um mês depois, os hackers exploraram uma terceira falha de zero-day ( CVE-2023-38035 ) no software Sentry da Ivanti para burlar a autenticação da API em dispositivos vulneráveis.

Os produtos da Ivanti são usados por mais de 40.000 empresas em todo o mundo para gerenciar seus ativos e sistemas de TI.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...