Trwa fala ataków wykorzystujących luki w zabezpieczeniach Ivanti Connect Secure (VPN) i Policy Secure Gateways – ostrzega amerykańska agencja ds. cyberbezpieczeństwa (CISA). Zaleca podmiotom rządowym natychmiastowe odłączenie tych produktów od sieci.

Małe i duże firmy zagrożone

Według ustaleń Mandianta, już w grudniu ub.r. przedsiębiorstwa były zagrożone z powodu błędów we wspomnianych rozwiązaniach. Badacze z Volexity alarmowali w minionym miesiącu, że ma miejsce „masowe wykorzystywanie” luk na całym świecie, a ofiarami są podmioty różnej wielkości, od małych firm po korporacje.

Według ustaleń Volexity na dzień 18 stycznia br., w wyniku ataków doszło do naruszenia bezpieczeństwa ponad 2,1 tys. urządzeń Ivanti Connect Secure VPN.

Błąd w zabezpieczeniach umożliwiający obejście uwierzytelniania (CVE-2023-46805) uzyskał ocenę zagrożenia 8,2 na 10,0, a pozwalający na wykonywanie poleceń (CVE-2024-21887) 9,1/10,0.

Ivanti ujawniło luki zero-day 10 stycznia br. Według firmy dotyczą one wszystkich obsługiwanych wersji Connect Secure VPN. Pod koniec stycznia br. firma udostępniła długo oczekiwane łatki.

CISA zaleca, aby klienci korzystający z bram Ivanti Connect Secure (9.xi 22.x) i Policy Secure przez ostatnie kilka tygodni lub nadal ich używający, stale wyszukiwali zagrożenia we wszystkich systemach podłączonych obecnie lub ostatnio do rozwiązań Ivanti. Radzi też monitorować uwierzytelnianie i usługi zarządzania tożsamością oraz w miarę możliwości izolować te systemy od wszelkich zasobów przedsiębiorstwa.

Chińska grupa atakuje

Zdaniem Volexity za atakami wykorzystującymi błędy w Ivanti stoi grupa UTA0178, której przypisuje się związki z chińskimi władzami.

Ivanti twierdzi, że luki mogą zostać wykorzystane łącznie przez cyberprzestępców do obrania za cel klientów Connect Secure VPN. Napastnicy bez uwierzytelniania mogą wykonywać dowolne polecenia w systemie – stwierdziła firma.

Ivanti nabył technologię Connect Secure VPN w 2020 r., przejmując Pulse Secure.