Ivanti: Rivelate 2 Nuove Vulnerabilità Zero-Day con Attacco Attivo
Ivanti ha recentemente segnalato due nuove vulnerabilità di elevata gravità nei suoi prodotti Connect Secure e Policy Secure. Di particolare preoccupazione, una delle vulnerabilità sembra essere oggetto di un attacco mirato in corso.
Le due vulnerabilità sono identificate come segue:
- CVE-2024-21888 (Punteggio CVSS: 8.8) – Questa vulnerabilità di escalation dei privilegi nel componente web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) consente a un utente di elevare i privilegi a quelli di un amministratore.
- CVE-2024-21893 (Punteggio CVSS: 8.2) – Questa vulnerabilità di server-side request forgery nel componente SAML di Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons for ZTA consente a un attaccante di accedere a risorse limitate senza autenticazione.
Nonostante non ci siano prove di impatti su clienti per CVE-2024-21888, Ivanti riconosce che l’exploit di CVE-2024-21893 sembra essere mirato. L’azienda prevede un aumento degli attacchi una volta che queste informazioni saranno pubbliche.
In risposta, Ivanti ha rilasciato correzioni per diverse versioni di Connect Secure e ZTA. Per evitare la persistenza dell’attaccante durante l’aggiornamento, si consiglia ai clienti di reimpostare l’appliance prima dell’applicazione della patch.
Per affrontare temporaneamente le vulnerabilità, gli utenti possono importare il file “mitigation.release.20240126.5.xml”.
Questa scoperta giunge dopo l’ampliamento dello sfruttamento di altre due vulnerabilità (CVE-2023-46805 e CVE-2024-21887) nello stesso prodotto da parte di attori minacciosi. L’Agenzia per la Sicurezza della Cybersecurity e dell’Infrastruttura degli Stati Uniti (CISA) ha emesso un avviso, segnalando l’utilizzo di tali vulnerabilità per catturare credenziali e rilasciare shell web per ulteriori compromissioni nelle reti aziendali.