Агентства Five Eyes предупреждают об активном использовании уязвимостей Ivanti Gateway

[Teacher]

Разведывательный альянс Five Eyes (FVEY) выпустил новое консультативное предупреждение по кибербезопасности о субъектах киберугроз, использующих известные недостатки безопасности в шлюзах Ivanti Connect Secure и Ivanti Policy Secure, отмечая, что инструмент проверки целостности (ICT) может быть обманут, чтобы создать ложное ощущение безопасности.

"ИКТ Ivanti недостаточно для обнаружения компрометации и что субъект киберугроз может получить устойчивость на корневом уровне, несмотря на сброс настроек к заводским настройкам", - сказали агентства.

На сегодняшний день Ivanti раскрыла пять уязвимостей в системе безопасности, влияющих на ее продукты с 10 января 2024 года, из которых четыре активно использовались несколькими участниками угроз для развертывания вредоносного ПО -

• CVE-2023-46805 (оценка CVSS: 8.2) - Уязвимость обхода аутентификации в веб-компоненте
• CVE-2024-21887 (оценка CVSS: 9.1) - Уязвимость при внедрении команд в веб-компонент
• CVE-2024-21888 (оценка CVSS: 8,8) - Уязвимость повышения привилегий в веб-компоненте
• CVE-2024-21893 (оценка CVSS: 8.2) - уязвимость SSRF в компоненте SAML
• CVE-2024-22024 (оценка CVSS: 8.3) - уязвимость XXE в компоненте SAML

Компания Mandiant в анализе, опубликованном на этой неделе, описала, как зашифрованная версия вредоносного ПО, известного как BUSHWALK, размещается в каталоге, исключенном ICT, в каталоге /data/runtime/cockpit/diskAnalysis.

В этом месяце Eclypsium также ранее подчеркивал исключения каталогов, заявляя, что инструмент пропускает проверку дюжины каталогов, что позволяет злоумышленнику оставить бэкдоры в одном из этих путей и при этом пройти проверку целостности.

"Самый безопасный способ действий для сетевых защитников - предположить, что изощренный субъект угрозы может внедрить защиту уровня руткита на устройстве, которое было перезагружено и бездействовало в течение произвольного периода времени", - заявили агентства из Австралии, Канады, Новой Зеландии, Великобритании и США.

Они также призвали организации "учитывать значительный риск доступа злоумышленников к защищенным шлюзам Ivanti Connect и Ivanti Policy Secure и их сохранения на них при определении того, следует ли продолжать эксплуатацию этих устройств в корпоративной среде".

Ivanti в ответ на предупреждение заявила, что ей неизвестно о каких-либо случаях успешного сохранения субъекта угрозы после внедрения обновлений безопасности и сброса настроек к заводским настройкам. Компания также выпускает новую версию ICT, которая, по ее словам, "обеспечивает дополнительную видимость устройства клиента и всех файлов, присутствующих в системе".