Un’urgente allerta della CISA rivela la pericolosa esposizione delle vulnerabilità delle soluzioni Ivanti, sollecitando immediati interventi di mitigazione.
Le agenzie di sicurezza informatica di livello internazionale, capeggiate dalla Cybersecurity and Infrastructure Security Agency (CISA) americana, sono in allarme per una serie di vulnerabilità critiche nelle soluzioni Ivanti Connect Secure e Policy Secure Gateways. La rivelazione di questa problematica giunge a seguito di un’analisi condivisa tra enti quali: FBI, MS-ISAC, Australian Cyber Security Centre (ASD’s ACSC), National Cyber Security Centre del Regno Unito (NCSC-UK), Canadian Centre for Cyber Security (Cyber Centre), NCSC-NZ e CERT-NZ.
Le falle di sicurezza attualmente sotto osservazione sono identificate come CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893, rappresentano punti di ingresso pericolosi per attori di minacce cyber che possono sfruttarli combinandoli per aggirare meccanismi di autenticazione, creare richieste malevole e eseguire comandi arbitrari con privilegi elevati.
Un’altra scoperta preoccupante, resa nota attraverso il consiglio congiunto, è che lo strumento Ivanti Integrity Checker si rivela inefficace nel rilevare compromissioni. Infatti, i malintenzionati possiedono la capacità di ingannare tali controlli. Ancora più inquietante è la possibilità che gli attaccanti possano mantenere un accesso persistente a livello radicale (root-level) ai dispositivi, ciò persino a seguito di azioni di reset alle condizioni di fabbrica.
Per affrontare tali minacce vengono forniti metodi di rilevamento e indicatori di compromissione (IOCs), così come linee guida di mitigazione per i difensori del cyberspazio. La CISA, consapevole che l’exploit è tutt’ora in corso, s’è impegnata ad aggiornare periodicamente le risorse messe a disposizione per affrontare questa minaccia.
Viene inoltre sottolineata la necessità di una rivalutazione del rischio significativo posto dall’accesso dei cyber attori ai gateway Ivanti e dall’ottenimento di persistenza nell’ambiente aziendale. Le organizzazioni che impiegano tali dispositivi dovrebbero partire dal presupposto che un attore minaccioso possa mantenere una presenza latente e dormiente per un periodo prima di attuare azioni malevoli, una tecnica ben nota come “Living Off the Land”.
- CISA and Partners Release Advisory on Threat Actors Exploiting Ivanti Connect Secure and Policy Secure
- Identifying and Mitigating Living Off the Land Techniques
- ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities
- Widespread exploitation of recently disclosed Ivanti vulnerabilities
- Ivanti Connect Secure Exploited to Install Cryptominers