Agências Five Eyes alertam sobre exploração ativa de vulnerabilidades do Ivanti Gateway
![iva](https://i0.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3qFd86VLt_uWY5486LSekU1B9j7K_eCk8I1NroW0nSzUCxrmFmGyJuhOKgep28VgtoDXsWL5_465qmNdpbgPrZxdmAjEDjz-YtvkXjrOQDHD0g89WTvlu-r5EWg3mEHSAZOpQ_q8G8-i6jgGZ638atgsOP8O6kgDEyJeU3CODosPidtep-1-7UX_3y5e3/s728-rw-e365/iva.jpg?w=780&resize=780,470&ssl=1)
![Ivanti Conexão Segura Ivanti Conexão Segura](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3qFd86VLt_uWY5486LSekU1B9j7K_eCk8I1NroW0nSzUCxrmFmGyJuhOKgep28VgtoDXsWL5_465qmNdpbgPrZxdmAjEDjz-YtvkXjrOQDHD0g89WTvlu-r5EWg3mEHSAZOpQ_q8G8-i6jgGZ638atgsOP8O6kgDEyJeU3CODosPidtep-1-7UX_3y5e3/s728-rw-e365/iva.jpg)
A associação de perceptibilidade Five Eyes (FVEY) emitiu um novo alerta de segurança cibernética para atores de ameaças cibernéticas que exploram falhas de segurança conhecidas nos gateways Ivanti Connect Secure e Ivanti Policy Secure, observando que a Utensílio Verificador de Integridade (ICT) pode ser enganada para fornecer uma falsa sensação de segurança.
“O Ivanti ICT não é suficiente para detectar comprometimentos e para que um ator de ameaço cibernética possa obter persistência no nível raiz, apesar de exprimir redefinições de fábrica”, disseram as agências.
Até o momento, a Ivanti divulgou cinco vulnerabilidades de segurança que impactam seus produtos desde 10 de janeiro de 2024, das quais quatro foram exploradas ativamente por vários atores de ameaças para implantar malware –
- CVE-2023-46805 (pontuação CVSS: 8,2) – Vulnerabilidade de ramal de autenticação no componente web
- CVE-2024-21887 (pontuação CVSS: 9.1) – Vulnerabilidade de injeção de comando no componente web
- CVE-2024-21888 (pontuação CVSS: 8,8) – Vulnerabilidade de escalonamento de privilégios no componente web
- CVE-2024-21893 (pontuação CVSS: 8,2) – Vulnerabilidade SSRF no componente SAML
- CVE-2024-22024 (pontuação CVSS: 8,3) – Vulnerabilidade XXE no componente SAML
A Mandiant, em uma estudo publicada esta semana, descreveu uma vez que uma versão criptografada de um malware sabido uma vez que BUSHWALK é colocada em um diretório excluído pelas TIC em /data/runtime/cockpit/diskAnalysis.
As exclusões de diretório também foram destacadas anteriormente pelo Eclypsium oriente mês, afirmando que a instrumento ignora a verificação de uma dúzia de diretórios, permitindo mal um invasor deixe backdoors em um desses caminhos e ainda assim passe na verificação de integridade.
“O curso de ação mais seguro para os defensores da rede é presumir que um agente de ameaço sofisticado pode implantar persistência em nível de rootkit em um dispositivo que foi reiniciado e permanece inativo por um período de tempo facultativo”, disseram agências da Austrália, Canadá, Novidade Zelândia e Reino Uno. , e os EUA disseram.
![Vulnerabilidades do gateway Ivanti Vulnerabilidades do gateway Ivanti](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyQCPTgkqFSSqP2R6tNmtiJhXfehH-pqBZt09o7DDa-QK59NlRKqofZyuixlzPHyuv7kbxa_mIWhOo0gSGCW064PvAt4HPa-mUVeTcDBOrFXpS-aPBmj-J1mhUUXdgqkqgj_GWyJDuhpr1kW-SVBs_V5583eNsYwv19WBFtrkHgOUwlXJoaX-G0hZuksUa/s728-rw-e365/unix.jpg)
Eles também instaram as organizações a “considerar o risco significativo de aproximação e persistência de adversários nos gateways Ivanti Connect Secure e Ivanti Policy Secure ao prescrever se devem continuar operando esses dispositivos em um envolvente corporativo”.
A Ivanti, em resposta ao enviado, disse que não tem conhecimento de nenhum caso de persistência bem-sucedida de agentes de ameaças depois a implementação de atualizações de segurança e redefinições de fábrica. A empresa também está lançando uma novidade versão do ICT que, segundo ela, “fornece visibilidade suplementar do dispositivo do cliente e de todos os arquivos presentes no sistema”.