Il bug critico di Ivanti viene sfruttato attivamente dagli hacker criminali. Il PoC è ora online

Redazione RHC : 6 Febbraio 2024 10:24

Una recente vulnerabilità 0-day che colpisce le soluzioni Ivanti Connect Secure e Policy Secure è già ampiamente sfruttata dagli hacker criminali. La vulnerabilità consente di aggirare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili.

Ricordiamo che due vulnerabilità zero-day (CVE-2024-21893 e CVE-2024-21888), che rappresentano una minaccia per i gateway Connect Secure, Policy Secure e ZTA, sono diventate note all’inizio di febbraio 2024.

Pertanto, il primo bug (CVE-2024-21893) è una vulnerabilità SSRF che appare sul lato server nel componente SAML. L’errore consente di ignorare l’autenticazione e ottenere l’accesso a determinate risorse su dispositivi vulnerabili (versioni 9.xe 22.x). Una seconda vulnerabilità (CVE-2024-21888) è stata scoperta nel componente web dei gateway e consente agli aggressori di aumentare i privilegi al livello di amministratore.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli sviluppatori hanno poi riferito di essere a conoscenza dello sfruttamento di CVE-2024-21893 da parte di aggressori, ma l’azienda ha assicurato che gli attacchi hanno colpito solo “un piccolo numero di client”.

Come hanno ora avvertito gli analisti di Shadowserver, diversi gruppi di malintenzionati stanno attualmente utilizzando un nuovo bug SSRF e gli attacchi sono partiti da 170 indirizzi IP univoci. Allo stesso tempo, il numero di abusi del CVE-2024-21893 supera significativamente il numero di attacchi sferrati contro i prodotti Ivanti.

Sebbene l’exploit PoC di questo bug, pubblicato il 2 febbraio 2024 dagli esperti di Rapid7, abbia chiaramente contribuito all’aumento del numero di attacchi, Shadowserver rileva che gli aggressori hanno utilizzato metodi di hacking simili diverse ore prima della pubblicazione dell’exploit.

Cioè, gli hacker hanno capito prontamente e in modo indipendente come sfruttare il CVE-2024-21893 per un accesso illimitato e non autenticato ai dispositivi Ivanti vulnerabili.

Secondo ShadowServer, attualmente si possono trovare su Internet quasi 22.500 dispositivi Ivanti Connect Secure, ma non si sa quanti di essi siano vulnerabili al problema CVE-2024-21893.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli