Zero-Day Exploitation di Ivanti Connect Secure e Policy Secure Gateways

Mercoledì 10 gennaio 2024, Ivanti ha reso noti due vulnerabilità zero-day che colpiscono i loro gateway Ivanti Connect Secure e Ivanti Policy Secure. La società di sicurezza Volexity, che ha scoperto le vulnerabilità, ha anche pubblicato un blog con informazioni su indicatori di compromissione e comportamenti degli attaccanti osservati in natura. In un attacco investigato da Volexity nel dicembre 2023, le due vulnerabilità sono state concatenate per ottenere l’accesso iniziale, distribuire webshell, inserire backdoor in file legittimi, catturare credenziali e dati di configurazione e poi estendersi ulteriormente nell’ambiente della vittima.

Le due vulnerabilità dal prima avviso sono:

  • CVE-2023-46805, una vulnerabilità zero-day di bypass dell’autenticazione nel componente web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure che permette a un attaccante remoto di accedere a risorse restritte eludendo controlli di controllo.
  • CVE-2024-21887, una vulnerabilità critica di iniezione di comandi zero-day nei componenti web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure che consente a un amministratore autenticato di inviare richieste appositamente create ed eseguire comandi arbitrari sul dispositivo. Questa vulnerabilità può essere sfruttata via Internet.

Rapid7 Research ha riprodotto l’attacco sfruttando CVE-2023-46895 e CVE-2024-21887; il nostro team ha un’analisi tecnica completa della catena di exploit originale disponibile in AttackerKB.

Due ulteriori vulnerabilità sono state divulgate il 31 gennaio 2024:

  • CVE-2024-21893, una vulnerabilità zero-day di falsificazione delle richieste lato server nel componente SAML di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons for ZTA che consente a un attaccante di accedere a determinate risorse restritte senza autenticazione. Secondo il nuovo avviso di Ivanti, CVE-2024-21893 è stato sfruttato in un numero limitato di ambienti client.
  • CVE-2024-21888, una vulnerabilità di escalation dei privilegi nel componente web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) che consente a un utente di elevare i privilegi a quelli di un amministratore.

È stata divulgata un’ulteriore vulnerabilità l’8 febbraio 2024:

  • CVE-2024-22024 è una vulnerabilità di entità esterna XML o XXE nel componente SAML di Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) e gateway ZTA che consente a un attaccante di accedere a determinate risorse restritte senza autenticazione. Secondo l’avviso di Ivanti, la mitigazione fornita il 31 gennaio è efficace nel bloccare questo endpoint vulnerabile.

L’Agenzia Statunitense per la Sicurezza Informatica e l’Infrastruttura (CISA) ha pubblicato un bollettino il 30 gennaio avvertendo che threat actors stanno sfruttando le vulnerabilità di Ivanti per acquisire credenziali, inserire webshell ed evitare le mitigazioni fornite originariamente dal fornitore. Sia Volexity che Mandiant hanno pubblicato descrizioni dettagliate dell’attacco e indicatori di compromissione – raccomandiamo vivamente di consultare i loro blog. Volexity e CISA hanno entrambi sottolineato che gli avversari sono stati osservati mentre cercavano di eludere lo strumento di controllo dell’integrità ICS di Ivanti.

Rapid7 esorta i clienti che utilizzano Ivanti Connect Secure o Policy Secure a prendere immediatamente provvedimenti per applicare il patch fornito dal fornitore e cercare indicatori di compromissione. Anche CISA e altri hanno sottolineato l’importanza di agire immediatamente e di condurre una caccia continua alle minacce. I dispositivi Ivanti dovrebbero anche essere ripristinati alle impostazioni di fabbrica.

Il conteggio degli apparecchi esposti su Internet varia ampiamente a seconda della query utilizzata. Quando sono state divulgate le CVE-2023-46805 e CVE-2024-21887, la seguente query di Shodan ha identificato circa 7.000 dispositivi su Internet pubblico; la ricerca della sola pagina di benvenuto di Ivanti raddoppia più che raddoppiare quel numero (ma riduce l’accuratezza): http.favicon.hash:-1439222863 html:”welcome.cgi?p=logo. Rapid7 Labs ha osservato sia attività di scansione che tentativi di exploit mirati ai nostri honeypot che emulano i dispositivi Ivanti Connect Secure.

Linee guida per la mitigazione

Importante: Ivanti ha rilasciato ulteriori indicazioni sugli artefatti degli attaccanti e sui passaggi di ripristino per i dispositivi interessati dopo che le informazioni di seguito sono state inizialmente pubblicate. I clienti dovrebbero fare riferimento all’avviso di Ivanti, all’articolo della Knowledge Base e alle indicazioni per il ripristino come fonti attendibili, poiché nuove informazioni continuano ad emergere.

  • Tutte le versioni supportate (9.x e 22.x) di Ivanti Connect Secure e Ivanti Policy Secure sono vulnerabili alle CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 e CVE-2024-21888.
  • Secondo le comunicazioni di Ivanti, tutte e quattro le CVE sono risolte con un patch disponibile a partire dal 31 gennaio 2024 tramite il portale di download standard per Ivanti Connect Secure (versioni 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 e 22.5R1.1) e ZTA versione 22.6R1.3. A partire dal 1 febbraio, è disponibile anche un patch che affronta le vulnerabilità conosciute per Ivanti Connect Secure versione 22.5R2.2 e Ivanti Policy Secure 22.5R1.1. È inoltre disponibile un patch per la CVE-2024-22024 a partire dall’8 febbraio 2024.
  • Ivanti fornisce passaggi di ripristino per i dispositivi interessati qui.
    I tempi di rilascio dei patch aggiornati e altre informazioni possono essere trovati qui.

I clienti di Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons dovrebbero applicare i patch forniti dal fornitore in modo urgente, ripristinare i dispositivi alle impostazioni di fabbrica e indagare sui loro ambienti alla ricerca di segni di compromissione. Ivanti consiglia ai clienti che utilizzano versioni non supportate del prodotto di effettuare l’aggiornamento a una versione supportata prima di applicare le soluzioni alternative.

Nota: È stato osservato che gli avversari cancellano i log e/o disabilitano il logging sui dispositivi bersaglio. Gli amministratori dovrebbero assicurarsi che il logging sia abilitato. Ivanti dispone di uno strumento integrato di controllo dell’integrità (ICT) che verifica l’immagine sui dispositivi Ivanti Connect Secure e Ivanti Policy Secure e controlla la presenza di file modificati. Ivanti consiglia ai clienti di utilizzare la versione esterna di questo strumento per verificare l’integrità delle immagini ICS/IPS, poiché Ivanti ha riscontrato che gli avversari stanno “tentando di manipolare” lo strumento interno di controllo dell’integrità.

Nota: Secondo l’avviso e l’articolo della Knowledge Base di Ivanti per CVE-2023-46805 e CVE-2024-21887, “i gateway Ivanti Neurons for ZTA non possono essere sfruttati in fase di produzione. Se viene generato un gateway per questa soluzione e lasciato disconnesso da un controller ZTA, esiste un rischio di sfruttamento sul gateway generato. Ivanti Neurons for Secure Access non è vulnerabile a queste CVE; tuttavia, i gateway in gestione sono indipendentemente vulnerabili a queste CVE”.

Clienti Rapid7

I clienti di InsightVM e Nexpose possono valutare la loro esposizione alle vulnerabilità di Ivanti Pulse Connect Secure CVE-2023-46805 e CVE-2024-21887 con controlli di vulnerabilità non autenticati nel rilascio dei contenuti dell’11 gennaio. I controlli di vulnerabilità non autenticati sono disponibili per CVE-2023-46805 e CVE-2024-21887 in Ivanti Policy Secure a partire dal 12 gennaio (versione del contenuto 1.1.3069).

Aggiornamento del 1° febbraio: i clienti di InsightVM e Nexpose possono valutare la loro esposizione a CVE-2024-21888 e CVE-2024-21893 in Ivanti Connect Secure con controlli di vulnerabilità non autenticati nel rilascio dei contenuti del 1° febbraio (versione del contenuto 1.1.3083). Ulteriori aggiornamenti per Ivanti Policy Secure e copertura per Ivanti Neurons for ZTA sono in fase di indagine e potrebbero essere disponibili in futuro.

Aggiornamento del 12 febbraio: i clienti di InsightVM e Nexpose saranno in grado di valutare la loro esposizione a CVE-2024-22024 in Ivanti Connect Secure con un controllo di vulnerabilità disponibile nel rilascio dei contenuti del 12 febbraio.

I clienti di InsightIDR e Managed Detection and Response hanno una copertura di rilevamento esistente attraverso la vasta libreria di regole di rilevamento di Rapid7. Rapid7 consiglia di installare l’Agente Insight su tutti gli host applicabili per garantire visibilità sui processi sospetti e una corretta copertura di rilevamento. Di seguito è riportato un elenco non esaustivo di rilevamenti che sono implementati e segnaleranno comportamenti post-sfruttamento correlati a questa vulnerabilità zero-day:

– Richiesta Web Sospetta – Possibile Attività di Sfruttamento Ivanti
– Richiesta Web Sospetta – Possibile Sfruttamento di CVE-2023-46805 di Ivanti

Aggiornamenti del blog

12 gennaio 2024: aggiornato per includere un riferimento al blog di Mandiant sull’attacco, che comprende indicatori di compromissione.

16 gennaio 2024: aggiornamento per notare che la ricerca Rapid7 ha riprodotto la catena di exploit e dispone di un’analisi tecnica completa disponibile in AttackerKB.

23 gennaio 2024: aggiornamento per riflettere che Rapid7 Labs ha rilevato un tentativo di sfruttamento di Ivanti Connect Secure.

24 gennaio 2024: aggiornamento con ulteriori indicazioni di Ivanti sul ripristino degli apparecchi compromessi. I clienti devono fare riferimento all’avviso di Ivanti, all’articolo KB e alla guida al ripristino come fonti di verità man mano che nuove informazioni continuano a venire alla luce.

30 gennaio 2024: aggiornato con una nota sui ritardi della patch da parte di Ivanti.

31 gennaio 2024: aggiornato con i nuovi CVE divulgati da Ivanti (CVE-2024-21893 e CVE-2024-21888), nuova analisi Mandiant, nuove informazioni sul bollettino CISA e nuove informazioni sulle patch fornite dal fornitore. Aggiornato con informazioni sul rilevamento per i clienti InsightIDR e Rapid7 MDR. Aggiornato per notare che il team di sviluppo della copertura InsightVM sta esaminando i nuovi CVE.

1 febbraio 2024: aggiornamento per notare che i clienti InsightVM e Nexpose saranno in grado di valutare la propria esposizione a CVE-2024-21888 e CVE-2024-21893 in Ivanti Connect Secure con controlli di vulnerabilità non autenticati nel rilascio dei contenuti di oggi (1 febbraio) (contenuti versione 1.1.3083).

2 febbraio 2024: aggiornato per riflettere che a partire dal 1 febbraio Ivanti ha indicato che una patch che risolve tutte le vulnerabilità note è disponibile anche per Ivanti Connect Secure versione 22.5R2.2 e Ivanti Policy Secure 22.5R1.1.

8 febbraio 2024: Ivanti ha rivelato un’ulteriore vulnerabilità, CVE-2024-22024, in Ivanti Connect Secure e Ivanti Policy Secure. Secondo l‘avviso, non è ancora noto se CVE-2024-22024 sia stato sfruttato in natura.

12 febbraio 2024: aggiornamento per sottolineare la necessità di ripristinare le impostazioni di fabbrica dei dispositivi; un controllo di vulnerabilità per Ivanti Connect Secure CVE-2024-22024 sarà disponibile nella versione odierna dei contenuti di InsightVM e Nexpose.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI