Ivanti раскрыла две новые уязвимости нулевого дня, одну уже эксплуатируют

Компания Ivanti сообщила о двух новых уязвимостях высокой степени опасности в продуктах Connect Secure и Policy Secure. Одну из них злоумышленники уже используют в целевых атаках — и производитель предупреждает, что после публичного раскрытия информации активность атакующих резко возрастёт.

Что за уязвимости

Список проблем выглядит так:

  • CVE-2024-21888 (CVSS 8.8) — уязвимость повышения привилегий в веб-компоненте Ivanti Connect Secure (версии 9.x, 22.x) и Ivanti Policy Secure (9.x, 22.x). Позволяет обычному пользователю получить права администратора.
  • CVE-2024-21893 (CVSS 8.2) — уязвимость типа SSRF (подделка запроса на стороне сервера) в SAML-компоненте Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) и Ivanti Neurons for ZTA. Даёт атакующему доступ к ограниченным ресурсам без аутентификации.

Компания, базирующаяся в штате Юта, заявила, что пока не нашла доказательств атак через CVE-2024-21888. А вот эксплуатация CVE-2024-21893, по её словам, носит целевой характер — Ivanti уже знает об «ограниченном числе клиентов», пострадавших от этой проблемы.

Производитель прямо признаёт: как только информация станет публичной, стоит ждать резкого роста числа атак, поскольку злоумышленники изменят тактику.

Патчи и рекомендации

Одновременно с раскрытием уязвимостей Ivanti выпустила исправления для следующих версий:

  • Connect Secure: 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1
  • ZTA: 22.6R1.3

Компания рекомендует клиентам из соображений предосторожности выполнить сброс устройства до заводских настроек перед установкой патча — это должно помешать злоумышленникам закрепиться в системе через процесс обновления. По оценке Ivanti, такая процедура занимает 3–4 часа.

В качестве временной меры для устранения обеих уязвимостей (CVE-2024-21888 и CVE-2024-21893) пользователям предлагается импортировать файл mitigation.release.20240126.5.xml.

Контекст: атаки продолжаются с декабря

Новость появилась на фоне продолжающейся эксплуатации двух других уязвимостей в тех же продуктах — CVE-2023-46805 и CVE-2024-21887. Их массово используют сразу несколько групп злоумышленников для установки бэкдоров, майнеров криптовалюты и загрузчика на Rust под названием KrustyLoader.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) в свежем предупреждении, опубликованном в тот же день, заявило, что атакующие используют эти две уязвимости для кражи учётных данных и установки веб-шеллов, что открывает путь к дальнейшей компрометации корпоративных сетей.

По данным CISA, некоторые группировки уже научились обходить действующие меры защиты и методы обнаружения — они эксплуатируют слабые места, перемещаются по сети и повышают привилегии незаметно для систем мониторинга. Более того, наиболее продвинутые атакующие сумели подделать работу внешнего инструмента проверки целостности (ICT), что дополнительно затрудняет обнаружение следов вторжения.

Источник: The Hacker News.