PoC для CVE-2024-21893 усугубил положение, под ударом около 22 500 устройств.
Массовая эксплуатация уязвимости в серверах Ivanti Connect Secure и Policy Secure, обозначенная как CVE-2024-21893 , вызывает тревогу среди специалистов по кибербезопасности. Этот серьёзный недочёт влияет на версии программного обеспечения 9.x и 22.x позволяет злоумышленникам обходить аутентификацию и получать доступ к ограниченным ресурсам уязвимых устройств.
Первое предупреждение от компании Ivanti было выпущено 31 января, когда уязвимость получила статус «нулевого дня» из-за ограниченной активной эксплуатации, затрагивающей небольшое количество клиентов.
Теперь же, как сообщает служба мониторинга угроз Shadowserver, уязвимость активно используется злоумышленниками. Специалисты зафиксировали попытки её эксплуатации со 170 уникальных IP-адресов. Объем атак на данную уязвимость значительно превышает активность по другим недавно исправленным проблемам Ivanti, что указывает на явную смену фокуса атакующими.
2 февраля исследователи из Rapid7 выложили в открытый доступ PoC-эксплойт, который, без сомнения, также способствовал увеличению числа атак. Хотя Shadowserver отмечает , что методы, аналогичные опубликованным, использовались злоумышленниками и за несколько часов до выхода отчёта Rapid7. Это свидетельствует о том, что хакеры уже и сами нашли способы использования CVE-2024-21893 для неограниченного доступа без аутентификации к уязвимым точкам Ivanti.
На сегодняшний день исследователями обнаружено почти 22 500 устройств Ivanti Connect Secure, доступных из Интернета. Однако доподлинно неизвестно, сколько из них на самом деле подвержены активно эксплуатируемой уязвимости.
Раскрытие CVE-2024-21893 компанией Ivanti сопровождалось выпуском обновлений безопасности для двух других уязвимостей «нулевого дня», затрагивающих те же продукты. Эти недостатки безопасности использовались группой китайских шпионов для установки веб-оболочек и бэкдоров на скомпрометированные устройства. Пик заражений пришёлся на середину января.
В связи с активной эксплуатацией нескольких критических уязвимостей «нулевого дня», отсутствием эффективных средств защиты и обновлений безопасности для некоторых версий продуктов, агентство CISA даже приказало федеральным агентствам США отключить все устройства Ivanti Connect Secure и Policy Secure VPN. Устройства могут быть повторно подключены к сети только после сброса до заводских настроек и обновления до последней версии прошивки.
Рекомендация распространяется и на частные организации, которым следует внимательно отнестись к безопасности своих систем Ivanti и общему доверию к их сетевой среде.
Одно найти легче, чем другое. Спойлер: это не темная материя