Redazione RHC : 2 Febbraio 2024 11:19
Prima che gli sviluppatori Ivanti avessero il tempo di correggere le vulnerabilità zero-day scoperte all’inizio di gennaio nei prodotti Connect Secure VPN e Policy Secure, si è saputo della scoperta di due nuovi bug 0-day, che interessavano anche i gateway Connect Secure, Policy Secure e ZTA. Inoltre, una delle vulnerabilità è già utilizzata dai criminali informatici.
Ricordiamo che il mese scorso sono stati rilevati dei bug in Ivanti Connect Secure VPN e Policy Secure, che sono stati oggetto di attacchi massicci. Le vulnerabilità CVE-2023-46805 e CVE-2024-21887 consentono il bypass dell’autenticazione e l’inserimento di comandi arbitrari.
Gli sviluppatori hanno impiegato quasi un mese intero per creare e rilasciare le patch per questi 0-day. Tuttavia, subito dopo il rilascio di queste correzioni, l’azienda ha avvertito di una nuova minaccia: due nuovi 0-day.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
La prima vulnerabilità zero-day (CVE-2024-21893) è un problema di falsificazione di richieste lato server nel componente SAML. La vulnerabilità consente di aggirare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili. Una seconda vulnerabilità (CVE-2024-21888) è stata scoperta nel componente web dei gateway e consente agli aggressori di aumentare i privilegi al livello di amministratore.
“Nell’ambito della nostra indagine in corso sulle vulnerabilità di Ivanti Connect Secure, Ivanti Policy Secure e gateway ZTA segnalate il 10 gennaio, abbiamo identificato nuove vulnerabilità. Questi problemi riguardano tutte le versioni supportate (9.xe 22.x)“. Ha affermato la società in una nota. “Al momento non disponiamo di informazioni relative al fatto che CVE-2024-21888 abbia interessato alcun cliente. Finora siamo a conoscenza solo di un numero limitato di clienti presi di mira da CVE-2024-21893.”
Va osservato che l’azienda prevede “un forte aumento della portata degli attacchi non appena le informazioni sulle vulnerabilità saranno rese pubbliche”. Ivanti ha già rilasciato patch per diverse versioni di ZTA e Connect Secure, eliminando entrambi i problemi. Ha anche pubblicato istruzioni su come proteggersi da queste vulnerabilità per quei dispositivi che sono ancora in attesa di patch.
Allo stesso tempo, l’azienda ha invitato i clienti a ripristinare le impostazioni di fabbrica dei dispositivi vulnerabili prima di installare le patch per impedire agli aggressori di tentare di prendere piede nella rete tra un aggiornamento e l’altro. Secondo gli specialisti di Shadowserver, attualmente sulla rete sono disponibili più di 22.000 istanze VPN ICS, di cui oltre 7.200 si trovano negli Stati Uniti.
Inoltre, Shadowserver tiene traccia delle istanze VPN Ivanti compromesse in tutto il mondo. E solo il 31 gennaio 2024 sono stati identificati più di 390 dispositivi compromessi.
A causa della “minaccia significativa” e del rischio significativo di una violazione della sicurezza, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato a tutte le agenzie federali di “disconnettere tutte le istanze di Ivanti Connect Secure e Ivanti Policy Secure dalle reti dell’agenzia il prima possibile” ed entro e non oltre le ore 23:59 del 2 febbraio 2024.
Una volta disattivati i dispositivi, le agenzie dovrebbero monitorare i propri sistemi per individuare eventuali segni di compromissione. Dovrebbero monitorare i servizi di autenticazione e gestione delle identità a rischio, isolare gli ambienti aziendali e verificare i livelli di accesso agli account.
Per riportare online i dispositivi Ivanti, CISA consiglia di esportare le configurazioni, eseguire ripristini di fabbrica, aggiornare i dispositivi alle versioni software con patch, reimportare le configurazioni di backup e revocare tutti i certificati, chiavi e password.
Inoltre, le agenzie federali sulle cui reti erano in esecuzione i prodotti Ivanti interessati dovrebbero considerare tutti gli account di dominio associati come compromessi, disabilitare i dispositivi connessi/registrati o eseguire una doppia reimpostazione della password su tutti gli account, revocare i ticket Kerberos e revocare i token cloud.
RedazioneIl 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...
Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...
Uno strumento Microsoft Web Deploy presenta una falla critica di sicurezza, potenzialmente sfruttata da aggressori autenticati per eseguire codice sui sistemi coinvolti. Si tratta del bug monitorato c...
