Attacco Zero-Day: Hacker Cinesi Sfruttano Vulnerabilità Critiche in Ivanti Connect Secure e Policy Secure
Il 11 gennaio 2024, due falle zero-day sono state individuate in Ivanti Connect Secure (ICS) e Policy Secure, risultando compromesse da attori cinesi legati allo stato. La società di sicurezza informatica Volexity ha tracciato l’attività presso uno dei suoi clienti nel dicembre 2023, attribuendola al gruppo di hacking UTA0178. Le prove suggeriscono una possibile compromissione dell’appliance VPN già il 3 dicembre 2023.
Le due vulnerabilità, CVE-2023-46805 (CVSS score: 8.2) e CVE-2024-21887 (CVSS score: 9.1), consentono l’esecuzione di comandi non autenticati su ICS. Ivanti ha dichiarato che, se entrambe sono utilizzate insieme, l’autenticazione non è richiesta, permettendo agli attori minacciosi di eseguire comandi dannosi.
La società ha notato tentativi di manipolazione dell’Integrity Checker interno (ICT) di Ivanti da parte degli attori minacciosi. Le patch saranno rilasciate a partire dalla settimana del 22 gennaio 2024, ma, nel frattempo, gli utenti sono consigliati di applicare soluzioni alternative per proteggersi.
Nell’incidente analizzato, le falle sono state sfruttate per rubare dati di configurazione, modificare file e creare tunnel inversi dall’appliance VPN ICS. Gli attacchi includono la modifica di file CGI e JavaScript per ottenere accesso illimitato ai sistemi nella rete.
L’Agenzia per la sicurezza cibernetica degli Stati Uniti (CISA) ha incluso le vulnerabilità nel suo catalogo Known Exploited Vulnerabilities (KEV), con scadenza per le correzioni entro il 31 gennaio 2024.
Volexity sottolinea il rischio crescente sugli appliance VPN e firewall accessibili via Internet, incoraggiando le organizzazioni a implementare strategie di monitoraggio per una risposta rapida agli eventi inattesi.