Ivanti emitiu um alerta sobre seus dispositivos Connect Secure VPN. Atores de ameaças avançadas estão explorando duas vulnerabilidades de dia zero em ataques cibernéticos, possivelmente incluindo grupos patrocinados pelo estado. Essa é mais uma vulnerabilidade no software Ivanti.
Exploração segura de dia zero do Ivanti Connect
Ivanti, uma empresa de software proeminente, emitido recentemente um alerta crítico sobre seus dispositivos Connect Secure VPN. Esses dispositivos são suscetíveis para vulnerabilidades de dia zero atualmente sendo explorados em ataques cibernéticos sofisticados. Especialistas atribuem esses ataques a supostos hackers apoiados pelo Estado chinês.
Ivanti confirmou que as vulnerabilidades em questão permitir que invasores obtenham acesso não autorizado e execute código arbitrário nos dispositivos afetados. Considerando o uso generalizado dos dispositivos Ivanti Connect Secure em vários ambientes de negócios e fornecendo acesso remoto seguro a redes corporativas, é de grande preocupação.
Detalhes da vulnerabilidade de dia 0 do ICS
As vulnerabilidades exploradas são CVE-2023-46805 (CVSS 8.2) e CVE-2024-21887 (CVSS 9.1). As vulnerabilidades podem ser transformadas em uma cadeia de exploração para assumir o controle de instâncias suscetíveis pela Internet. Essas falhas podem levar a consequências graves, Incluindo execução remota de código (RCE) e acesso não autorizado a dados confidenciais. Que, na verdade, explica o motivo 8+ pontuação – as melhores coisas vêm em duas.
A primeira vulnerabilidade diz respeito ao desvio de autenticação no componente web, que permite que invasores remotos acessem recursos restritos sem verificações de controle adequadas. A segunda vulnerabilidade está relacionada à injeção de comando nos componentes web, que permite administradores autenticados para executar comandos arbitrários no dispositivo enviando solicitações especialmente criadas.
Patches ainda não disponíveis
Embora tenha identificado menos de dez clientes que foram afetados, A Ivanti assessorou todos os seus clientes para executar a ferramenta externa Integrity Checker (TIC) como medida de precaução. A empresa também adicionou novas funcionalidades ao TIC externo, que será incorporado ao sistema interno de TIC. Os clientes devem garantir eles têm as duas ferramentas’ versões mais recentes.
Quanto às correções de patch, Ivanti planeja lançar patches para essas vulnerabilidades durante a semana de janeiro 22. No entanto, eles serão implementados em um cronograma escalonado de acordo com a versão do produto. Enquanto isso, a empresa lançou uma série de etapas de mitigação que os clientes devem seguir imediatamente para proteger seus sistemas. É altamente recomendável que as organizações sigam estas etapas de mitigação, pois a situação ainda está evoluindo.
Como se proteger contra vulnerabilidades de dia 0?
Como uma vulnerabilidade de dia zero é uma vulnerabilidade que os invasores aprenderam antes dos desenvolvedores de software, não há solução garantida. No entanto, algumas medidas reduzem significativamente os riscos, e vou listá-los abaixo:
- Use soluções de proteção de nível corporativo como EDR/XDR. Esta abordagem inovadora de software antimalware concentra-se na proteção de endpoint em vez de dispositivos individuais. As soluções EDR e XDR coletam uma grande quantidade de dados sobre a atividade dos endpoints, incluindo operações de arquivo, tráfego de rede, e comportamento do usuário. Ele emprega aprendizado de máquina e IA para detectar e responder a ameaças. Ao analisar esses dados, eles podem identificar padrões anômalos que indicam um ataque de dia zero.
- Aplicar confiança zero. Confiança zero é um modelo de segurança cibernética que concede acesso com base em privilégios mínimos e verifica continuamente usuários e dispositivos. Como resultado, isso reduz a superfície de ataque e torna mais difícil a exploração de vulnerabilidades.
- Realize testes de pentes regularmente. O teste de penetração é um ataque real simulado à infraestrutura de TI de uma organização para identificar e avaliar vulnerabilidades que os invasores podem explorar.. Então, esta ação pode ajudar as organizações a identificar vulnerabilidades de dia zero que outras ferramentas de segurança podem não detectar.