Scoperta una vulnerabilità zero-day in Ivanti con decine di migliaia di dispositivi potenzialmente a rischio.
Recentemente, un punto debole nel sistema di sicurezza di Ivanti, noto come vulnerabilità zero-day, ha catturato l’attenzione del settore della cybersecurity. Si tratta di una fessura critica che interessa Ivanti Connect Secure e Policy Secure, attraverso la quale attaccanti informatici possono aggirare le misure di sicurezza e accedere indebitamente a risorse sensibili sui dispositivi colpiti.
Le due vulnerabilità principali, identificate dai codici CVE-2024-21893 e CVE-2024-21888, minacciano direttamente i gateway Connect Secure, Policy Secure e ZTA. La prima, descritta come una vulnerabilità di tipo Server-Side Request Forgery (SSRF) presente nella componente SAML, permette di eludere l’autenticazione e accedere a risorse specifiche su dispositivi vulnerabili, ovvero versioni 9.x e 22.x. Invece, la seconda vulnerabilità scoperta nella componente web permette agli hacker di elevarsi al livello di privilegi di amministratore.
Gli esperti di sicurezza hanno riscontrato attività malevole rivolte a sfruttare queste lacune. In particolare, CVE-2024-21893 si è rivelato un bersaglio appetibile per gli aggressori, sebbene Ivanti abbia assicurato che i danni siano stati limitati a una ristretta cerchia di clienti. Nonostante ciò, l’allarme è elevato, considerando che un Proof of Concept (PoC) legato a queste vulnerabilità è stato diffuso online, contribuendo all’intensificarsi delle minacce.
Il team di Shadowserver ha evidenziato che l’exploit della vulnerabilità è stato adottato da diversi gruppi criminali informatici, con attacchi provenienti da più di 170 indirizzi IP univoci. Questo indica un livello di abuso di CVE-2024-21893 ben superiore agli attacchi diretti ai prodotti Ivanti. Addirittura, sembra che tali metodi di attacco siano stati messi in atto ore prima della divulgazione dell’exploit da parte di Rapid7.
In questo periodo di incertezza e potenziale pericolo, si stima che quasi 22.500 dispositivi Ivanti Connect Secure siano presenti online, ma è incerto quante di queste unità siano esposte a CVE-2024-21893. La questione solleva seri interrogativi sulla protezione dei dati aziendali e l’integrità dei sistemi di sicurezza IT.
Per contrastare queste minacce, è fondamentale che gli amministratori di sistema e i professionisti della cybersecurity adottino immediatamente tutte le misure preventive necessarie. L’aggiornamento dei software ai più recenti patch di sicurezza, la conduzione di regolari audit dei sistemi e la rapida reazione agli avvertimenti dei fornitori di sicurezza sono passaggi cruciale per mitigare i rischi di compromissioni.