Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 2 Febbraio 2024 11:19
Prima che gli sviluppatori Ivanti avessero il tempo di correggere le vulnerabilità zero-day scoperte all’inizio di gennaio nei prodotti Connect Secure VPN e Policy Secure, si è saputo della scoperta di due nuovi bug 0-day, che interessavano anche i gateway Connect Secure, Policy Secure e ZTA. Inoltre, una delle vulnerabilità è già utilizzata dai criminali informatici.
Ricordiamo che il mese scorso sono stati rilevati dei bug in Ivanti Connect Secure VPN e Policy Secure, che sono stati oggetto di attacchi massicci. Le vulnerabilità CVE-2023-46805 e CVE-2024-21887 consentono il bypass dell’autenticazione e l’inserimento di comandi arbitrari.
Gli sviluppatori hanno impiegato quasi un mese intero per creare e rilasciare le patch per questi 0-day. Tuttavia, subito dopo il rilascio di queste correzioni, l’azienda ha avvertito di una nuova minaccia: due nuovi 0-day.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La prima vulnerabilità zero-day (CVE-2024-21893) è un problema di falsificazione di richieste lato server nel componente SAML. La vulnerabilità consente di aggirare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili. Una seconda vulnerabilità (CVE-2024-21888) è stata scoperta nel componente web dei gateway e consente agli aggressori di aumentare i privilegi al livello di amministratore.
“Nell’ambito della nostra indagine in corso sulle vulnerabilità di Ivanti Connect Secure, Ivanti Policy Secure e gateway ZTA segnalate il 10 gennaio, abbiamo identificato nuove vulnerabilità. Questi problemi riguardano tutte le versioni supportate (9.xe 22.x)“. Ha affermato la società in una nota. “Al momento non disponiamo di informazioni relative al fatto che CVE-2024-21888 abbia interessato alcun cliente. Finora siamo a conoscenza solo di un numero limitato di clienti presi di mira da CVE-2024-21893.”
Va osservato che l’azienda prevede “un forte aumento della portata degli attacchi non appena le informazioni sulle vulnerabilità saranno rese pubbliche”. Ivanti ha già rilasciato patch per diverse versioni di ZTA e Connect Secure, eliminando entrambi i problemi. Ha anche pubblicato istruzioni su come proteggersi da queste vulnerabilità per quei dispositivi che sono ancora in attesa di patch.
Allo stesso tempo, l’azienda ha invitato i clienti a ripristinare le impostazioni di fabbrica dei dispositivi vulnerabili prima di installare le patch per impedire agli aggressori di tentare di prendere piede nella rete tra un aggiornamento e l’altro. Secondo gli specialisti di Shadowserver, attualmente sulla rete sono disponibili più di 22.000 istanze VPN ICS, di cui oltre 7.200 si trovano negli Stati Uniti.
Inoltre, Shadowserver tiene traccia delle istanze VPN Ivanti compromesse in tutto il mondo. E solo il 31 gennaio 2024 sono stati identificati più di 390 dispositivi compromessi.
A causa della “minaccia significativa” e del rischio significativo di una violazione della sicurezza, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato a tutte le agenzie federali di “disconnettere tutte le istanze di Ivanti Connect Secure e Ivanti Policy Secure dalle reti dell’agenzia il prima possibile” ed entro e non oltre le ore 23:59 del 2 febbraio 2024.
Una volta disattivati i dispositivi, le agenzie dovrebbero monitorare i propri sistemi per individuare eventuali segni di compromissione. Dovrebbero monitorare i servizi di autenticazione e gestione delle identità a rischio, isolare gli ambienti aziendali e verificare i livelli di accesso agli account.
Per riportare online i dispositivi Ivanti, CISA consiglia di esportare le configurazioni, eseguire ripristini di fabbrica, aggiornare i dispositivi alle versioni software con patch, reimportare le configurazioni di backup e revocare tutti i certificati, chiavi e password.
Inoltre, le agenzie federali sulle cui reti erano in esecuzione i prodotti Ivanti interessati dovrebbero considerare tutti gli account di dominio associati come compromessi, disabilitare i dispositivi connessi/registrati o eseguire una doppia reimpostazione della password su tutti gli account, revocare i ticket Kerberos e revocare i token cloud.
Redazione1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
