Redazione RHC : 2 Febbraio 2024 11:19
Prima che gli sviluppatori Ivanti avessero il tempo di correggere le vulnerabilità zero-day scoperte all’inizio di gennaio nei prodotti Connect Secure VPN e Policy Secure, si è saputo della scoperta di due nuovi bug 0-day, che interessavano anche i gateway Connect Secure, Policy Secure e ZTA. Inoltre, una delle vulnerabilità è già utilizzata dai criminali informatici.
Ricordiamo che il mese scorso sono stati rilevati dei bug in Ivanti Connect Secure VPN e Policy Secure, che sono stati oggetto di attacchi massicci. Le vulnerabilità CVE-2023-46805 e CVE-2024-21887 consentono il bypass dell’autenticazione e l’inserimento di comandi arbitrari.
Gli sviluppatori hanno impiegato quasi un mese intero per creare e rilasciare le patch per questi 0-day. Tuttavia, subito dopo il rilascio di queste correzioni, l’azienda ha avvertito di una nuova minaccia: due nuovi 0-day.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La prima vulnerabilità zero-day (CVE-2024-21893) è un problema di falsificazione di richieste lato server nel componente SAML. La vulnerabilità consente di aggirare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili. Una seconda vulnerabilità (CVE-2024-21888) è stata scoperta nel componente web dei gateway e consente agli aggressori di aumentare i privilegi al livello di amministratore.
“Nell’ambito della nostra indagine in corso sulle vulnerabilità di Ivanti Connect Secure, Ivanti Policy Secure e gateway ZTA segnalate il 10 gennaio, abbiamo identificato nuove vulnerabilità. Questi problemi riguardano tutte le versioni supportate (9.xe 22.x)“. Ha affermato la società in una nota. “Al momento non disponiamo di informazioni relative al fatto che CVE-2024-21888 abbia interessato alcun cliente. Finora siamo a conoscenza solo di un numero limitato di clienti presi di mira da CVE-2024-21893.”
Va osservato che l’azienda prevede “un forte aumento della portata degli attacchi non appena le informazioni sulle vulnerabilità saranno rese pubbliche”. Ivanti ha già rilasciato patch per diverse versioni di ZTA e Connect Secure, eliminando entrambi i problemi. Ha anche pubblicato istruzioni su come proteggersi da queste vulnerabilità per quei dispositivi che sono ancora in attesa di patch.
Allo stesso tempo, l’azienda ha invitato i clienti a ripristinare le impostazioni di fabbrica dei dispositivi vulnerabili prima di installare le patch per impedire agli aggressori di tentare di prendere piede nella rete tra un aggiornamento e l’altro. Secondo gli specialisti di Shadowserver, attualmente sulla rete sono disponibili più di 22.000 istanze VPN ICS, di cui oltre 7.200 si trovano negli Stati Uniti.
Inoltre, Shadowserver tiene traccia delle istanze VPN Ivanti compromesse in tutto il mondo. E solo il 31 gennaio 2024 sono stati identificati più di 390 dispositivi compromessi.
A causa della “minaccia significativa” e del rischio significativo di una violazione della sicurezza, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato a tutte le agenzie federali di “disconnettere tutte le istanze di Ivanti Connect Secure e Ivanti Policy Secure dalle reti dell’agenzia il prima possibile” ed entro e non oltre le ore 23:59 del 2 febbraio 2024.
Una volta disattivati i dispositivi, le agenzie dovrebbero monitorare i propri sistemi per individuare eventuali segni di compromissione. Dovrebbero monitorare i servizi di autenticazione e gestione delle identità a rischio, isolare gli ambienti aziendali e verificare i livelli di accesso agli account.
Per riportare online i dispositivi Ivanti, CISA consiglia di esportare le configurazioni, eseguire ripristini di fabbrica, aggiornare i dispositivi alle versioni software con patch, reimportare le configurazioni di backup e revocare tutti i certificati, chiavi e password.
Inoltre, le agenzie federali sulle cui reti erano in esecuzione i prodotti Ivanti interessati dovrebbero considerare tutti gli account di dominio associati come compromessi, disabilitare i dispositivi connessi/registrati o eseguire una doppia reimpostazione della password su tutti gli account, revocare i ticket Kerberos e revocare i token cloud.
RedazioneGoogle sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
