Η επικίνδυνη εκμετάλλευση του ελάττωματος Ivanti RCE σε επιθέσεις

Η CISA προειδοποίησε σήμερα ότι μια κρίσιμη ευπάθεια Ivanti που μπορεί να επιτρέψει στους παράγοντες απειλών να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα σε ευάλωτες συσκευές Endpoint Manager (EPM) χρησιμοποιείται τώρα ενεργά σε επιθέσεις.

Το Ivanti EPM είναι μια ολοκληρωμένη λύση διαχείρισης τελικού σημείου που βοηθά τους διαχειριστές να διαχειρίζονται συσκευές πελατών σε διάφορες πλατφόρμες, συμπεριλαμβανομένων των λειτουργικών συστημάτων Windows, macOS, Chrome OS και IoT.

Παρακολούθηση ως CVE-2024-29824αυτή η ευπάθεια SQL Injection στον κεντρικό διακομιστή του Ivanti EPM, την οποία μπορούν να εκμεταλλευτούν οι εισβολείς χωρίς έλεγχο ταυτότητας εντός του ίδιου δικτύου για να εκτελέσουν αυθαίρετο κώδικα σε μη επιδιορθωμένα συστήματα.

Η Ivanti κυκλοφόρησε ενημερώσεις ασφαλείας για να επιδιορθώσει αυτό το ελάττωμα ασφαλείας τον Μάιοόταν αντιμετώπισε επίσης πέντε άλλα σφάλματα απομακρυσμένης εκτέλεσης κώδικα στον κεντρικό διακομιστή της EPM, όλα επηρεάζουν το Ivanti EPM 2022 SU5 και παλαιότερα.

Οι ερευνητές ασφαλείας Horizon3.ai δημοσίευσαν ένα CVE-2024-29824 βαθιά κατάδυση τον Ιούνιο και κυκλοφόρησε ένα proof-of-concept exploit στο GitHub που μπορεί να χρησιμοποιηθεί για την «τυφλή εκτέλεση εντολών σε ευάλωτες συσκευές Ivanti EPM».

Συνέστησαν επίσης στους διαχειριστές που αναζητούσαν σημάδια πιθανής εκμετάλλευσης στις συσκευές τους να ελέγξουν τα αρχεία καταγραφής MS SQL για αποδεικτικά στοιχεία της χρήσης xp_cmdshell για την απόκτηση εκτέλεσης εντολών.

Σήμερα, η Ivanti ενημέρωσε την αρχική συμβουλή ασφαλείας να δηλώσει ότι “έχει επιβεβαιώσει την εκμετάλλευση του CVE-2024-29824 στη φύση.”

“Τη στιγμή αυτής της ενημέρωσης, γνωρίζουμε έναν περιορισμένο αριθμό πελατών που έχουν γίνει αντικείμενο εκμετάλλευσης”, πρόσθεσε η εταιρεία.

Οι ομοσπονδιακές υπηρεσίες διέταξαν να επιδιορθωθούν εντός τριών εβδομάδων

Την Τρίτη, η CISA ακολούθησε το παράδειγμά της και προστέθηκε το ελάττωμα του Ivanti EPM RCE Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειώνεπισημαίνοντάς το ως ενεργά εκμετάλλευση.

Οι υπηρεσίες του Federal Civilian Executive Branch (FCEB) πρέπει τώρα να ασφαλίσουν τις ευάλωτες συσκευές εντός τριών εβδομάδων έως τις 23 Οκτωβρίου, όπως απαιτεί η δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01,

Ενώ ο κατάλογος KEV της CISA έχει σχεδιαστεί κυρίως για να ειδοποιεί τις ομοσπονδιακές υπηρεσίες για ευπάθειες που πρέπει να επιδιορθώσουν το συντομότερο δυνατό, οι οργανισμοί σε όλο τον κόσμο θα πρέπει επίσης να δώσουν προτεραιότητα στην επιδιόρθωση αυτής της ευπάθειας για να μπλοκάρουν τις συνεχιζόμενες επιθέσεις.

Πολλαπλές ευπάθειες του Ivanti έχουν αξιοποιηθεί ως ελαττώματα μηδενικής ημέρας σε εκτεταμένες επιθέσεις τους τελευταίους μήνες, με στόχο τις συσκευές VPN και τις πύλες ICS, IPS και ZTA της εταιρείας.

Τον περασμένο μήνα, ο Ivanti προειδοποίησε ότι οι παράγοντες απειλών δέσμευαν δύο πρόσφατα διορθωμένα τρωτά σημεία του Cloud Services Appliance (CSA) για να επιτεθούν σε μη επιδιορθωμένες συσκευές.

Σε απάντηση ο Ιβάντι ανακοινώθηκε τον Σεπτέμβριο ότι εργάζεται για τη βελτίωση της διαδικασίας υπεύθυνης αποκάλυψης και των δυνατοτήτων δοκιμών για την ταχύτερη αντιμετώπιση τέτοιων απειλών ασφαλείας.

Η Ivanti συνεργάζεται με περισσότερους από 7.000 οργανισμούς για την παροχή λύσεων διαχείρισης περιουσιακών στοιχείων συστημάτων και πληροφορικής σε περισσότερες από 40.000 εταιρείες παγκοσμίως.