Data di creazione: 11/01/2024 – 10:51

Sintesi

Rilevato lo sfruttamento attivo in rete delle vulnerabilità CVE-2023-46805 e CVE-2024-21887 relative ai prodotti Connect Secure e Policy Secure Gateways di Ivanti.

Note:

• aggiornamento del 19/01/2024: Proof of Concept (PoC) per lo sfruttamento delle CVE-2023-46805 e CVE-2024-21887 risultano disponibili in rete;
  
• aggiornamento del 31/01/2024: la vulnerabilità CVE-2024-21893 risulta essere sfruttata attivamente in rete;
• aggiornamento del 06/02/2024: Proof of Concept (PoC) per lo sfruttamento della CVE-2024-21893 risulta disponibile in rete.

Tipologia

• Authentication Bypass
• Remote Code Execution

Descrizione

È stato recentemente rilevato lo sfruttamento delle vulnerabilità CVE-2023-46805 e CVE-2024-21887 relative ai prodotti Connect Secure e Policy Secure Gateways di Ivanti.

Nel dettaglio, lo sfruttamento consequenziale di tali vulnerabilità – con score CVSS v3.1 pari a 8.2 e 9.1 rispettivamente di tipo “Authentication Bypass” e “Command Injection” – potrebbe permettere l’esecuzione di codice arbitrario sui sistemi target.

Prodotti e versioni affette

Ivanti Connect Secure

• 9.x
• 22.x

Ivanti Policy Secure

• 9.x
• 22.x

Azioni di Mitigazione

In attesa del rilascio delle relative patch di sicurezza da parte del vendor, si raccomanda di applicare le mitigazioni indicate nel bollettino di sicurezza riportato nella sezione Riferimenti.

Aggiornamento del 31/01/2024

Il vendor ha rilasciato le patch per i prodotti vulnerabili, si raccomanda l’aggiornamento tempestivo del software interessato. Come indicato nel bollettino del vendor, si consiglia di eseguire il factory reset dei dispositivi prima dell’applicazione della patch per impedire a eventuali attaccanti di guadagnare la persistenza.

Aggiornamento del 28/02/2024

Il vendor, come indicato nel suo bollettino, ha rilasciato una nuova versione del software Integrity Checking Tool (ICT) che fornisce uno snapshot decifrato dell’appliance. Ove non già provveduto, si consiglia di eseguire il tool, ai fini del rilevamento di eventuali evidenze di persistenza dell’attaccante.

Identificatori univoci vulnerabilità

CVE-2023-46805

CVE-2024-21887

Aggiornamento del 31/01/2024

CVE-2024-21888

CVE-2024-21893

Riferimenti

https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways

https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

Aggiornamento del 16/01/2024

https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/

https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

Aggiornamento del 22/01/2024

https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US

https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/

Aggiornamento del 31/01/2024

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

Aggiornamento del 28/02/2024

https://forums.ivanti.com/s/article/How-to-open-an-Integrity-Scan-Snapshot

https://www.mandiant.com/resources/blog/investigating-ivanti-exploitation-persistence

https://services.google.com/fh/files/misc/ivanti-connect-secure-remediation-hardening.pdf

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.