Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

22.000 VPN Ivanti a rischio compromissione a causa di due 0-day sotto sfruttamento. Il CISA emette un alert

Redazione RHC : 2 Febbraio 2024 11:19

Prima che gli sviluppatori Ivanti avessero il tempo di correggere le vulnerabilità zero-day scoperte all’inizio di gennaio nei prodotti Connect Secure VPN e Policy Secure, si è saputo della scoperta di due nuovi bug 0-day, che interessavano anche i gateway Connect Secure, Policy Secure e ZTA. Inoltre, una delle vulnerabilità è già utilizzata dai criminali informatici.

Ricordiamo che il mese scorso sono stati rilevati dei bug in Ivanti Connect Secure VPN e Policy Secure, che sono stati oggetto di attacchi massicci. Le vulnerabilità CVE-2023-46805 e CVE-2024-21887 consentono il bypass dell’autenticazione e l’inserimento di comandi arbitrari.

Gli sviluppatori hanno impiegato quasi un mese intero per creare e rilasciare le patch per questi 0-day. Tuttavia, subito dopo il rilascio di queste correzioni, l’azienda ha avvertito di una nuova minaccia: due nuovi 0-day.

Le due vulnerabilità 0-day che affliggono i Ivanti VPN

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La prima vulnerabilità zero-day (CVE-2024-21893) è un problema di falsificazione di richieste lato server nel componente SAML. La vulnerabilità consente di aggirare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili. Una seconda vulnerabilità (CVE-2024-21888) è stata scoperta nel componente web dei gateway e consente agli aggressori di aumentare i privilegi al livello di amministratore.

Nell’ambito della nostra indagine in corso sulle vulnerabilità di Ivanti Connect Secure, Ivanti Policy Secure e gateway ZTA segnalate il 10 gennaio, abbiamo identificato nuove vulnerabilità. Questi problemi riguardano tutte le versioni supportate (9.xe 22.x)“. Ha affermato la società in una nota. “Al momento non disponiamo di informazioni relative al fatto che CVE-2024-21888 abbia interessato alcun cliente. Finora siamo a conoscenza solo di un numero limitato di clienti presi di mira da CVE-2024-21893.”

Va osservato che l’azienda prevede “un forte aumento della portata degli attacchi non appena le informazioni sulle vulnerabilità saranno rese pubbliche”. Ivanti ha già rilasciato patch per diverse versioni di ZTA e Connect Secure, eliminando entrambi i problemi. Ha anche pubblicato istruzioni su come proteggersi da queste vulnerabilità per quei dispositivi che sono ancora in attesa di patch.

VPN Ivanti vulnerabile (Fonte Shodan)

Allo stesso tempo, l’azienda ha invitato i clienti a ripristinare le impostazioni di fabbrica dei dispositivi vulnerabili prima di installare le patch per impedire agli aggressori di tentare di prendere piede nella rete tra un aggiornamento e l’altro. Secondo gli specialisti di Shadowserver, attualmente sulla rete sono  disponibili più di 22.000 istanze VPN ICS, di cui oltre 7.200 si trovano negli Stati Uniti.

Inoltre, Shadowserver tiene traccia delle istanze VPN Ivanti compromesse in tutto il mondo. E solo il 31 gennaio 2024  sono stati identificati più di 390 dispositivi compromessi.

L’allarme del CISA: “Minaccia significativa”

A causa della “minaccia significativa” e del rischio significativo di una violazione della sicurezza, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato a tutte le agenzie federali di “disconnettere tutte le istanze di Ivanti Connect Secure e Ivanti Policy Secure dalle reti dell’agenzia il prima possibile” ed entro e non oltre le ore 23:59 del 2 febbraio 2024.

Una volta disattivati ​​i dispositivi, le agenzie dovrebbero monitorare i propri sistemi per individuare eventuali segni di compromissione. Dovrebbero monitorare i servizi di autenticazione e gestione delle identità a rischio, isolare gli ambienti aziendali e verificare i livelli di accesso agli account.

Per riportare online i dispositivi Ivanti, CISA consiglia di esportare le configurazioni, eseguire ripristini di fabbrica, aggiornare i dispositivi alle versioni software con patch, reimportare le configurazioni di backup e revocare tutti i certificati, chiavi e password.

Inoltre, le agenzie federali sulle cui reti erano in esecuzione i prodotti Ivanti interessati dovrebbero considerare tutti gli account di dominio associati come compromessi, disabilitare i dispositivi connessi/registrati o eseguire una doppia reimpostazione della password su tutti gli account, revocare i ticket Kerberos e revocare i token cloud.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Allarme NetScaler ADC e Gateway: Due bug gravi mettono a rischio le aziende in tutto il mondo

Due gravi vulnerabilità di sicurezza sono state individuate nei dispositivi NetScaler ADC e NetScaler Gateway (precedentemente noti come Citrix ADC e Gateway). Queste falle possono permettere a u...

Scoperta grave vulnerabilità su Chrome: exploit usato da APT TaxOff per installare malware avanzato

Secondo una analisi degli specialisti del Positive Technologies Expert Security Center, è stata rilevata una nuova vulnerabilità in Google Chrome monitorata con l’identificatore CVE-2...

E’ cyberwar tra Israele ed Iran! APTiran colpisce Israele e avverte sul pericolo delle backdoor

Come abbiamo visto, è guerra informatica tra Israele ed Iran. Dopo gli attacchi di Predatory Sparrow alla Bank Sepah, ora un gruppo che si fa chiamare APTiran, colpisce le infrastrutture di Israe...

BrowserVenom, il malware che sfrutta DeepSeek per rubare dati. Può colpire anche in Italia?

Autori: Simone D’Agostino e Antonio Piovesan Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in general...

Gli accessi ad una grande azienda italiana della meccanica industriale in vendita nel Dark Web

Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identi...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006