Вразливості нульового дня в Ivanti (CVE-2024-21887 та CVE-2023-46805)
Ivanti Connect Secure (ICS) та Ivanti Policy Secure (IPS), раніше відомі як Pulse Connect Secure, — це інструменти віртуальної приватної мережі (VPN), на які компанії покладаються для безпечного віддаленого доступу. Однак дві щойно розкриті вразливості нульового дня тепер створюють небезпечну загрозу, яка може повністю скомпрометувати ці критично важливі шлюзи.
Ці вразливості, що відстежуються як CVE-2024-21887 та CVE-2023-46805, можна об’єднати в ланцюжок, щоб уможливити неавтентифіковане віддалене виконання коду. Це означає, що зловмисники можуть віддалено захоплювати VPN-пристрої, переглядати конфіденційні дані, розгортати шкідливе програмне забезпечення та проникати глибше в корпоративні мережі без жодної потреби обходити механізми автентифікації.
Ivanti підтвердила, що обидві вразливості впливають на всі підтримувані версії Connect Secure та Policy Secure. Оскільки ці продукти використовують сотні компаній, потенційний масштаб збитків величезний. Mandiant і Volexity вже спостерігали активну експлуатацію в середовищах клієнтів. Оскільки оновлення виходитимуть протягом наступного місяця, компанії мають діяти вже зараз, щоб виявити потенційну компрометацію цих критично важливих інструментів і відреагувати на неї.
Розуміння вразливостей: виконання коду та обхід автентифікації
CVE-2024-21887 виникає через вразливість до ін’єкції команд в адміністративному вебінтерфейсі Connect Secure та Policy Secure. Цей інтерфейс використовують авторизовані адміністратори для керування конфігурацією та застосування оновлень.
Вводячи шкідливий код у параметри, які передаються до базової операційної системи, зловмисник може впровадити довільні команди. За допомогою ретельно сформованих вхідних даних зловмисник може скористатися можливостями ОС, щоб досягти віддаленого виконання коду.
Це забезпечує початковий плацдарм, але зловмиснику все ще потрібно обійти автентифікацію, щоб отримати доступ до адміністративної консолі. Саме тут у гру вступає CVE-2023-46805. Ця вразливість дозволяє неавтентифікованому зловмиснику надсилати запити, які мали б вимагати автентифікації.
Об’єднання цих двох вразливостей у ланцюжок дозволяє віддаленому зловмиснику автоматично виконувати команди від імені адміністратора без потреби в жодних облікових даних. Із цього моменту зловмисник має повний контроль над шлюзом.
Активна експлуатація в реальних умовах
Ivanti скоординувала розкриття інформації з Mandiant і Volexity, які спостерігали експлуатацію цих вразливостей у середовищах клієнтів.
Volexity зіткнулася зі зловмисниками, які використовували обидві CVE для компрометації кількох VPN-серверів, а потім переміщувалися латерально, щоб зібрати облікові дані, встановити постійний доступ і викрасти дані.
Mandiant виявила п’ять різних сімейств шкідливого програмного забезпечення, розгорнутих через ці вразливості, що підкреслює: ці вразливості нульового дня використовують кілька досвідчених зловмисників. Активне націлювання на пристрої Connect Secure та Policy Secure також свідчить, що зловмисники, найімовірніше, виявили ці вразливості незалежно ще до їх публічного розкриття.
Широке охоплення різних галузей
Ivanti Connect Secure та Policy Secure використовують організації в усіх секторах, щоб забезпечити можливості безпечної віддаленої роботи. База встановлень охоплює державні установи, критичну інфраструктуру, компанії зі списку Fortune 500, мережі охорони здоров’я та інші.
Сама Ivanti наводить понад 29 000 клієнтів із мільйонами кінцевих точок, захищених її набором продуктів. Хоча не всі клієнти використовують Connect Secure чи Policy Secure, ці рішення все ж залишаються двома флагманськими пропозиціями Ivanti.
Попередні дослідження свідчать, що саме Connect Secure має значну частку ринку як VPN-рішення. Ці продукти забезпечують віддалений доступ і BYOD для значної частини корпоративних мереж.
Історія критичних вразливостей в Ivanti
Хоча це й тривожно, останній інцидент не є безпрецедентним для Ivanti. Компанія вже стикалася з іншими вразливостями високого рівня критичності, які експлуатувалися в реальних умовах:
- У 2019 році критичні вразливості RCE в Connect Secure призвели до активних атак і термінового встановлення оновлень.
- У 2020 році критична вразливість (CVE-2020-8193) уможливила неавтентифіковане читання файлів, що знову вимагало термінового встановлення оновлень.
- У 2021 році Ivanti усунула критичну вразливість (CVE-2021-22893), яка дозволяла викрадення облікових даних і RCE.
Очевидно, що Ivanti Connect Secure та Policy Secure перебувають у полі зору як дослідників, так і зловмисників. Ці останні вразливості нульового дня доповнюють прикру історію виявлення та зловмисної експлуатації критичних прогалин у безпеці.
Встановлення оновлень і пом’якшувальні заходи
Ivanti випустила оновлення для деяких версій продуктів і пом’якшувальний захід для версій, які наразі не мають оновлень:
- Для підтримуваних версій: оновлення розгортаються за графіком оновлень Ivanti в період із січня по лютий 2024 року.
- Для непідтримуваних версій: доступний пом’якшувальний захід, хоча він не виправляє вже скомпрометовані системи.
Цей пом’якшувальний захід вимикає доступ до вразливої адміністративної консолі, щоб зменшити поверхню атаки. Однак він не усуває першопричину вразливості й не вирішує ситуацій, коли пристрій уже скомпрометовано.
Ivanti рекомендує спочатку оновитися до підтримуваної версії, перш ніж застосовувати пом’якшувальний захід. Оновлення та пом’якшувальний захід не містять жодних деталей про вразливість чи інформації щодо усунення вразливостей.
Для скомпрометованих систем Ivanti опублікувала інструмент перевірки цілісності. Він може допомогти виявити змінені файли чи активи, які потребують розслідування. Утім, з огляду на характер цих вразливостей, внутрішні інструменти перевірки цілісності також можуть бути скомпрометовані. Рекомендовано зовнішнє сканування мережевого трафіку та поведінки.
Оцінка компрометації та подальші кроки
Для будь-якої організації, що використовує Ivanti Connect Secure чи Policy Secure, потрібні негайні дії, щоб визначити, чи вже відбулася експлуатація:
- Перевіряйте VPN-трафік і журнали на наявність аномалій, які можуть свідчити про компрометацію
- Аналізуйте вхідні та вихідні мережеві потоки на предмет неочікуваної активності сканування або з’єднань
- Перевіряйте, чи немає несанкціонованих змін у файловій системі та конфігурації шлюзу
- Порівнюйте файли та бінарні файли з індикаторами компрометації від Mandiant
- Розгляньте можливість ізоляції VPN-пристроїв, щоб обмежити вплив у разі виявлення експлуатації
Якщо компрометацію виявлено, проведіть повне розслідування та запустіть процедури реагування на інциденти. Скомпрометовані облікові дані потрібно скинути, додаткові механізми закріплення — вистежити, а несанкціоновані зміни — усунути. Криміналістичний аналіз має з’ясувати, до яких даних отримав доступ зловмисник, які додаткові плацдарми було створено та чи відбувалося подальше латеральне переміщення.
Для нескомпрометованих пристроїв встановлюйте оновлення, щойно вони стануть доступними, і впроваджуйте компенсаційні засоби контролю. Обмежте використання VPN лише ключовим персоналом і вимагайте додаткову багатофакторну автентифікацію. Перегляньте архітектури віддаленого доступу та забезпечте надійне журналювання й моніторинг.
ResilientX Cyber Exposure Management
Клієнти ResilientX Security можуть скористатися платформою Cyber Exposure Management, щоб швидко виявити будь-які доступні ззовні екземпляри Ivanti Connect Secure та Policy Secure у своєму середовищі. Можливості управління кіберекспозицією виявлять усі доступні з інтернету VPN-шлюзи та підкреслять наявність CVE-2024-21887 та CVE-2023-46805. Ця видимість у реальному часі уможливлює негайне встановлення оновлень і пом’якшення для вразливих систем, перш ніж їх можна буде зловмисно експлуатувати. Функції інвентаризації програмного забезпечення та управління вразливостями додатково виявлять непідтримувані версії, вразливі до компрометації, щоб можна було проактивно впровадити додаткові засоби захисту.
Використовуючи Cyber Exposure Management та вмикаючи управління поверхнею атаки (пасивне сканування), клієнти можуть швидко вжити заходів, щоб оцінити та посилити засоби контролю безпеки для VPN-продуктів Ivanti проти цих серйозних вразливостей нульового дня.
Висновок
Тепер розпочалися перегони: компанії поспішають визначити свою кіберекспозицію, перш ніж зловмисники нею скористаються. Оскільки експлуатація вже триває в реальних умовах, компанії мають ретельно перевірити свої шлюзи Connect Secure та Policy Secure. Швидке виявлення та реагування є критично важливими, щоб пом’якшити потенційні збитки від використання цих серйозних вразливостей досвідченими супротивниками.
Хоча встановлення оновлень допоможе, виклики нікуди не зникнуть. Застарілі системи можуть залишатися без оновлень нескінченно довго, технічний борг продовжує накопичуватися, а нові вразливості неминучі. Організації мають застосовувати здобуті уроки, щоб виявляти й усувати ризики, які створюють критично важливі бізнес-інструменти. Проактивна оцінка, моніторинг і вдосконалення стану кібербезпеки є критично важливими в постійній боротьбі за закриття ключових прогалин, перш ніж їх можна буде експлуатувати в масштабі.
