Компания Ivanti сообщила о двух новых уязвимостях высокой степени опасности в продуктах Connect Secure и Policy Secure. Одну из них злоумышленники уже используют в целевых атаках — и производитель предупреждает, что после публичного раскрытия информации активность атакующих резко возрастёт.
Что за уязвимости
Список проблем выглядит так:
- CVE-2024-21888 (CVSS 8.8) — уязвимость повышения привилегий в веб-компоненте Ivanti Connect Secure (версии 9.x, 22.x) и Ivanti Policy Secure (9.x, 22.x). Позволяет обычному пользователю получить права администратора.
- CVE-2024-21893 (CVSS 8.2) — уязвимость типа SSRF (подделка запроса на стороне сервера) в SAML-компоненте Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) и Ivanti Neurons for ZTA. Даёт атакующему доступ к ограниченным ресурсам без аутентификации.
Компания, базирующаяся в штате Юта, заявила, что пока не нашла доказательств атак через CVE-2024-21888. А вот эксплуатация CVE-2024-21893, по её словам, носит целевой характер — Ivanti уже знает об «ограниченном числе клиентов», пострадавших от этой проблемы.
Производитель прямо признаёт: как только информация станет публичной, стоит ждать резкого роста числа атак, поскольку злоумышленники изменят тактику.
Патчи и рекомендации
Одновременно с раскрытием уязвимостей Ivanti выпустила исправления для следующих версий:
- Connect Secure: 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1
- ZTA: 22.6R1.3
Компания рекомендует клиентам из соображений предосторожности выполнить сброс устройства до заводских настроек перед установкой патча — это должно помешать злоумышленникам закрепиться в системе через процесс обновления. По оценке Ivanti, такая процедура занимает 3–4 часа.
В качестве временной меры для устранения обеих уязвимостей (CVE-2024-21888 и CVE-2024-21893) пользователям предлагается импортировать файл mitigation.release.20240126.5.xml.
Контекст: атаки продолжаются с декабря
Новость появилась на фоне продолжающейся эксплуатации двух других уязвимостей в тех же продуктах — CVE-2023-46805 и CVE-2024-21887. Их массово используют сразу несколько групп злоумышленников для установки бэкдоров, майнеров криптовалюты и загрузчика на Rust под названием KrustyLoader.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) в свежем предупреждении, опубликованном в тот же день, заявило, что атакующие используют эти две уязвимости для кражи учётных данных и установки веб-шеллов, что открывает путь к дальнейшей компрометации корпоративных сетей.
По данным CISA, некоторые группировки уже научились обходить действующие меры защиты и методы обнаружения — они эксплуатируют слабые места, перемещаются по сети и повышают привилегии незаметно для систем мониторинга. Более того, наиболее продвинутые атакующие сумели подделать работу внешнего инструмента проверки целостности (ICT), что дополнительно затрудняет обнаружение следов вторжения.
Источник: The Hacker News.