Kritiskas ievainojamības Ivanti programmatūrā Ivanti Connect Secure un Ivanti Policy Secure

CERT.LV brīdina, ka ir atklātās divas kritiskas ievainojamības CVE-2023-46805 (autentifikācijas apiešana) un CVE-2024-21887 (komandu injekcija web komponentēs, kā rezultātā iespējams izpildīt patvaļīgu kodu) Ivanti VPN vārtejās Ivanti Connect Secure (ICS) jeb iepriekš pazīstams kā Pulse Connect Secure un Ivanti Policy Secure. Abas ievainojamības apvienojot, uzbrucējam ir iespējams neautentificējoties izpildīt patvaļīgas komandas uz ievainojamās sistēmās.

Ievainojamas ir visas joprojām atbalstītās ražotāja versijas t.i. 9.x un 22.x.

Iesakām aktīvi sekot ražotāja ieteikumiem ievainojamību novēršanai, jo, kamēr ielāps (patch) vēl ir izstrādēs procesā, ir pieejams pagaidu (workaround) risinājums no ražotāja --> jāimportē mitigation.release.20240107.1.xml datne, kas pieejama lejupielāžu portālā. Detalizētāka informācija pieejama šeit: https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Ir zināms, ka šīs ievainojamības jau tiek aktīvi izmantotas uzbrukumos vismaz kopš 2023.gada decembra, tādēļ aicinām pārbaudīt sistēmu, vai nav manāmas kompromitācijas pazīmes, kas aprakstītas sadaļā “Detecting Compromise” šeit: https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

Nepieciešams pārbaudīt arī pēc šeit norādītajiem IOCs indikatoriem: https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10 Ivanti Connect Secure/indicators/iocs.csv

Infrastruktūras skenēšanai var izmantot šeit norādītos Yara rules: https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar