A Ivanti alertou os administradores para parar de enviar novas configurações de dispositivos para os aparelhos após aplicar as mitigações, pois isso irá deixá-los vulneráveis a ataques contínuos que exploram duas vulnerabilidades de zero-day.
Embora a empresa não tenha fornecido detalhes adicionais, disse que isso é causado por uma condição de corrida conhecida ao enviar configurações que faz um serviço web parar e a mitigação aplicada parar de funcionar.
"Os clientes devem parar de enviar configurações para dispositivos com o XML no lugar e não retomar o envio de configurações até que o dispositivo seja corrigido", disse Ivanti em uma nova atualização publicada no sábado.
"Quando a configuração é enviada para o dispositivo, ela interrompe alguns serviços web chave de funcionar e interrompe o funcionamento da mitigação.
Isso se aplica apenas aos clientes que enviam configurações para dispositivos, incluindo configurações enviadas através do Pulse One ou do NSA.
Isso pode ocorrer independentemente de um empurrão de configuração completo ou parcial."
A empresa Ivanti ainda não compartilhou se a re-aplicação das mitigações XML também causa a parada das mitigações, embora isso pareça provável, dado que a condição de corrida ocorre cada vez que novas configurações são enviadas a um dispositivo.
O alerta vem depois que a CISA emitiu a primeira diretiva de emergência de 2024, ordenando que as agências dos EUA apliquem mitigação imediata para duas falhas de zero-day da Ivanti Connect Secure e Policy Secure exploradas em ataques generalizados por vários hackers.
Os aparelhos Ivanti ICS e IPS têm sido alvo de ataques em grande escala encadeando a autenticação CVE-2023-46805 e os bugs de injeção de comando CVE-2024-21887 desde pelo menos dezembro.
Quando encadeados, os dois zero-days permitem aos atacantes mover-se lateralmente dentro de redes comprometidas, coletar e exfiltrar dados, e estabelecer acesso persistente ao sistema em dispositivos violados, implantando backdoors.
Embora a empresa ainda não tenha lançado patches de segurança, ela lançou medidas de atenuação que devem bloquear tentativas de ataque e instruções de recuperação projetadas para ajudar os administradores a restaurar dispositivos afetados e colocá-los de volta em serviço.
A plataforma de monitoramento de ameaças Shadowserver atualmente rastreia mais de 21.400 aparelhos VPN ICS expostos na Internet, mais de 6.300 nos Estados Unidos (Shodan também vê mais de 18.500 dispositivos Ivanti ICS expostos online).
A Shadowserver também monitora quantas instâncias do Ivanti Connect Secure VPN estão sendo comprometidas diariamente em todo o mundo, com mais de 700 aparelhos comprometidos descobertos somente em 21 de janeiro.
A empresa de inteligência de ameaças Volexity disse que um dos invasores que está explorando ativamente os dois zero-days - um grupo de ameaças suspeito de ser apoiado pelo estado chinês rastreado como UTA0178, também monitorado pela Mandiant como UNC5221 - já backdoorou mais de 2.100 aparelhos da Ivanti usando uma variante do webshell GIFTEDVISITOR.
Os invasores também implantaram mineradores de criptomoedas XMRig e payloads de malware baseadas em Rust em dispositivos comprometidos, de acordo com a Volexity e a GreyNoise.
A Mandiant também encontrou cinco cepas de malwares personalizadas implantadas nos sistemas dos clientes violados para roubar credenciais, soltar payloads maliciosas adicionais e implantar webshells.
Os invasores têm colhido e roubado dados de contas e sessões das redes comprometidas de muitas vítimas, incluindo entidades governamentais e militares em todo o mundo, empresas nacionais de telecomunicações, contratados de defesa, empresas de tecnologia, bancos, finanças e organizações contábeis e empresas de engenharia aeroespacial, aviação e engenharia.
Eles também variam significativamente em tamanho, desde pequenas empresas até algumas das maiores organizações do mundo, incluindo várias empresas da Fortune 500 em uma ampla gama de setores da indústria.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...