WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Ivanti cảnh báo về hai lỗ hổng zero-day đang bị khai thác
Ivanti vừa công bố hai lỗ hổng zero-day trong các sản phẩm Connect Secure (ICS) và Policy Secure của hãng đang bị khai thác trên thực tế có thể dẫn đến thực thi mã từ trên các cổng kết nối bị nhắm mục tiêu.
Connect Secure (ICS) là giải pháp SSL VPN, cung cấp cho người dùng từ xa quyền truy cập an toàn vào các tài nguyên của công ty.
Còn Policy Secure là giải pháp kiểm soát truy cập mạng, chỉ cấp cho người dùng đã được xác thực quyền truy cập vào mạng của công ty.
Lỗ hổng đầu tiên (CVE-2023-46805) là lỗi bỏ qua xác thực trong thành phần web của ứng dụng, cho phép kẻ tấn công truy cập vào tài nguyên trái phép bằng cách phá vỡ các bước kiểm soát.
Lỗ hổng thứ 2 (CVE-2024-21887) là lỗi tiêm lệnh từ đó cho phép quản trị viên đã xác thực thực thi lệnh tùy ý trên các thiết bị tồn tại lỗ hổng qua một truy vấn tự tạo.
Theo báo cáo của Mandiant và Volexity, khi kết hợp 2 zero-day này lại, kẻ tấn công có thể chạy các lệnh tùy ý trên tất cả phiên bản đang được hỗ trợ của các sản phẩm bị ảnh hưởng.
Ivanti cho biết, các bản vá sẽ được phát hành theo lịch riêng, với phiên bản đầu tiên dành cho các khách hàng vào khoảng ngày 22/01 và phiên bản cuối cùng sẽ vào khoảng 19/02.
Cho đến khi có bản vá, các zero-day này có thể được giảm thiểu bằng cách thêm tệp tin mitigation.release.20240107.1.xml dành cho khách hàng tải trực tiếp trên web của Ivanti.
Ivanti cũng cho biết thêm cả 2 lỗ hổng có thể đã bị khai thác nhắm vào một lượng nhỏ khách hàng (chưa đến 10 khách hàng). Còn theo công ty tình báo về các mối đe dọa Volexity, các lỗ hổng này đã bị khai thác để xâm nhập mạng lưới của khách hàng vào tháng 12/2023 và cho rằng kẻ đứng sau là các tin tặc do Trung Quốc hậu thuẫn.
Theo báo cáo của Shodan, theo một chuỗi nghiên cứu được chia sẻ bởi chuyên gia bảo mật Kevin Keaumont, trên 15.000 các cổng kết nối Connect Secure (ICS) và Policy Secure hiện đang mở ra ngoài Internet. Chuyên gia này cảnh báo 2 lỗ hổng zero-day đã được dùng trong các cuộc tấn công và cho phép qua mặt xác thực nhiều bước (MFA) và thực thi mã.
Trước đó, đã có rất nhiều lỗ hổng nghiêm trọng trong các sản phẩm của Ivanti được công bố như tuần trước là CVE-2023-39336 trong phần mềm Endpoint Management (EPM) có thể bị lạm dụng bởi kẻ tấn công chưa xác thực. Hay vào tháng 07/2023 là 2 zero-day (CVE-2023-35078 và CVE-2023-35081) trong Endpoint Manager Mobile (EPMM) để xâm nhập mạng của các tổ chức chính phủ Na Uy.
Các sản phẩm của Ivanti được sử dụng tại khoảng 40.000 công ty trên thế giới để quản lý các tài sản và hệ thống công nghệ thông tin. Do đó, các quản trị viên cần kiểm tra và rà soát lại các hệ thống đang sử dụng Connect Secure và Policy Secure để đảm bảo an toàn, đồng theo theo dõi để cập nhật khi có bản vá từ Ivanti.
Connect Secure (ICS) là giải pháp SSL VPN, cung cấp cho người dùng từ xa quyền truy cập an toàn vào các tài nguyên của công ty.
Còn Policy Secure là giải pháp kiểm soát truy cập mạng, chỉ cấp cho người dùng đã được xác thực quyền truy cập vào mạng của công ty.
Lỗ hổng đầu tiên (CVE-2023-46805) là lỗi bỏ qua xác thực trong thành phần web của ứng dụng, cho phép kẻ tấn công truy cập vào tài nguyên trái phép bằng cách phá vỡ các bước kiểm soát.
Lỗ hổng thứ 2 (CVE-2024-21887) là lỗi tiêm lệnh từ đó cho phép quản trị viên đã xác thực thực thi lệnh tùy ý trên các thiết bị tồn tại lỗ hổng qua một truy vấn tự tạo.
Theo báo cáo của Mandiant và Volexity, khi kết hợp 2 zero-day này lại, kẻ tấn công có thể chạy các lệnh tùy ý trên tất cả phiên bản đang được hỗ trợ của các sản phẩm bị ảnh hưởng.
Ivanti cho biết, các bản vá sẽ được phát hành theo lịch riêng, với phiên bản đầu tiên dành cho các khách hàng vào khoảng ngày 22/01 và phiên bản cuối cùng sẽ vào khoảng 19/02.
Cho đến khi có bản vá, các zero-day này có thể được giảm thiểu bằng cách thêm tệp tin mitigation.release.20240107.1.xml dành cho khách hàng tải trực tiếp trên web của Ivanti.
Ivanti cũng cho biết thêm cả 2 lỗ hổng có thể đã bị khai thác nhắm vào một lượng nhỏ khách hàng (chưa đến 10 khách hàng). Còn theo công ty tình báo về các mối đe dọa Volexity, các lỗ hổng này đã bị khai thác để xâm nhập mạng lưới của khách hàng vào tháng 12/2023 và cho rằng kẻ đứng sau là các tin tặc do Trung Quốc hậu thuẫn.
Theo báo cáo của Shodan, theo một chuỗi nghiên cứu được chia sẻ bởi chuyên gia bảo mật Kevin Keaumont, trên 15.000 các cổng kết nối Connect Secure (ICS) và Policy Secure hiện đang mở ra ngoài Internet. Chuyên gia này cảnh báo 2 lỗ hổng zero-day đã được dùng trong các cuộc tấn công và cho phép qua mặt xác thực nhiều bước (MFA) và thực thi mã.
Trước đó, đã có rất nhiều lỗ hổng nghiêm trọng trong các sản phẩm của Ivanti được công bố như tuần trước là CVE-2023-39336 trong phần mềm Endpoint Management (EPM) có thể bị lạm dụng bởi kẻ tấn công chưa xác thực. Hay vào tháng 07/2023 là 2 zero-day (CVE-2023-35078 và CVE-2023-35081) trong Endpoint Manager Mobile (EPMM) để xâm nhập mạng của các tổ chức chính phủ Na Uy.
Các sản phẩm của Ivanti được sử dụng tại khoảng 40.000 công ty trên thế giới để quản lý các tài sản và hệ thống công nghệ thông tin. Do đó, các quản trị viên cần kiểm tra và rà soát lại các hệ thống đang sử dụng Connect Secure và Policy Secure để đảm bảo an toàn, đồng theo theo dõi để cập nhật khi có bản vá từ Ivanti.
Theo Bleeping Computer