A associação de perceptibilidade Five Eyes (FVEY) emitiu um novo alerta de segurança cibernética para atores de ameaças cibernéticas que exploram falhas de segurança conhecidas nos gateways Ivanti Connect Secure e Ivanti Policy Secure, observando que a Utensílio Verificador de Integridade (ICT) pode ser enganada para fornecer uma falsa sensação de segurança.
“O Ivanti ICT não é suficiente para detectar comprometimentos e para que um ator de ameaço cibernética possa obter persistência no nível raiz, apesar de exprimir redefinições de fábrica”, disseram as agências.
Até o momento, a Ivanti divulgou cinco vulnerabilidades de segurança que impactam seus produtos desde 10 de janeiro de 2024, das quais quatro foram exploradas ativamente por vários atores de ameaças para implantar malware –
- CVE-2023-46805 (pontuação CVSS: 8,2) – Vulnerabilidade de ramal de autenticação no componente web
- CVE-2024-21887 (pontuação CVSS: 9.1) – Vulnerabilidade de injeção de comando no componente web
- CVE-2024-21888 (pontuação CVSS: 8,8) – Vulnerabilidade de escalonamento de privilégios no componente web
- CVE-2024-21893 (pontuação CVSS: 8,2) – Vulnerabilidade SSRF no componente SAML
- CVE-2024-22024 (pontuação CVSS: 8,3) – Vulnerabilidade XXE no componente SAML
A Mandiant, em uma estudo publicada esta semana, descreveu uma vez que uma versão criptografada de um malware sabido uma vez que BUSHWALK é colocada em um diretório excluído pelas TIC em /data/runtime/cockpit/diskAnalysis.
As exclusões de diretório também foram destacadas anteriormente pelo Eclypsium oriente mês, afirmando que a instrumento ignora a verificação de uma dúzia de diretórios, permitindo mal um invasor deixe backdoors em um desses caminhos e ainda assim passe na verificação de integridade.
“O curso de ação mais seguro para os defensores da rede é presumir que um agente de ameaço sofisticado pode implantar persistência em nível de rootkit em um dispositivo que foi reiniciado e permanece inativo por um período de tempo facultativo”, disseram agências da Austrália, Canadá, Novidade Zelândia e Reino Uno. , e os EUA disseram.
Eles também instaram as organizações a “considerar o risco significativo de aproximação e persistência de adversários nos gateways Ivanti Connect Secure e Ivanti Policy Secure ao prescrever se devem continuar operando esses dispositivos em um envolvente corporativo”.
A Ivanti, em resposta ao enviado, disse que não tem conhecimento de nenhum caso de persistência bem-sucedida de agentes de ameaças depois a implementação de atualizações de segurança e redefinições de fábrica. A empresa também está lançando uma novidade versão do ICT que, segundo ela, “fornece visibilidade suplementar do dispositivo do cliente e de todos os arquivos presentes no sistema”.
