Le vulnerabilità zero-day di Ivanti (CVE-2024-21887 e CVE-2023-46805)

Ivanti Connect Secure (ICS) e Ivanti Policy Secure (IPS), precedentemente noti come Pulse Connect Secure, sono strumenti di rete privata virtuale (VPN) su cui le aziende fanno affidamento per consentire l'accesso remoto sicuro. Tuttavia, due vulnerabilità zero-day recentemente divulgate rappresentano ora una minaccia pericolosa che potrebbe compromettere completamente questi gateway critici.

Le vulnerabilità, tracciate come CVE-2024-21887 e CVE-2023-46805, possono essere concatenate per consentire l'esecuzione di codice remoto non autenticato. Ciò significa che gli aggressori possono impossessarsi da remoto dei dispositivi VPN, visualizzare dati sensibili, distribuire malware e accedere più a fondo alle reti aziendali senza dover bypassare i meccanismi di autenticazione.

Ivanti ha confermato che entrambe le vulnerabilità riguardano tutte le versioni supportate di Connect Secure e Policy Secure. Con centinaia di aziende che utilizzano questi prodotti, la potenziale entità dei danni è enorme. Mandiant e Volexity hanno già osservato uno sfruttamento attivo negli ambienti dei clienti. Con l'introduzione delle patch nel corso del prossimo mese, le aziende devono agire subito per rilevare e rispondere alla potenziale compromissione di questi strumenti cruciali.

Comprensione delle vulnerabilità: esecuzione del codice e bypass dell'autenticazione

CVE-2024-21887 deriva da una vulnerabilità di iniezione di comandi nell'interfaccia web amministrativa per Connect Secure e Policy Secure. Questa interfaccia viene utilizzata dagli amministratori autorizzati per gestire la configurazione e applicare gli aggiornamenti.

Inserendo codice dannoso nei parametri che vengono passati al sistema operativo sottostante, un utente malintenzionato può iniettare comandi arbitrari. Con un input elaborato con cura, l'aggressore può sfruttare le funzionalità del sistema operativo per ottenere l'esecuzione di codice in modalità remota.

Ciò fornisce un punto d'appoggio iniziale, ma l'aggressore deve comunque bypassare l'autenticazione per accedere alla console di amministrazione. È qui che entra in gioco CVE-2023-46805. Questa vulnerabilità consente a un utente malintenzionato non autenticato di effettuare richieste che dovrebbero richiedere l'autenticazione.

Il concatenamento di questi due elementi consente a un utente malintenzionato remoto di eseguire automaticamente i comandi come amministratore senza bisogno di credenziali. A quel punto, l'aggressore ha il pieno controllo del gateway.

Sfruttamento attivo in natura

Ivanti ha coordinato la divulgazione con Mandiant e Volexity, che hanno entrambi osservato lo sfruttamento di queste vulnerabilità negli ambienti dei clienti.

Volexity ha riscontrato che gli autori delle minacce utilizzavano entrambi i CVE per compromettere più server VPN, quindi eseguire il pivot lateralmente per raccogliere le credenziali, stabilire un accesso persistente ed esfiltrare i dati.

Mandiant ha identificato cinque diverse famiglie di malware distribuite tramite queste vulnerabilità, evidenziando che diversi aggressori sofisticati stanno sfruttando questi zero day. Il targeting attivo dei dispositivi Connect Secure e Policy Secure indica inoltre che gli autori delle minacce hanno probabilmente identificato le vulnerabilità in modo indipendente prima della divulgazione pubblica.

Ampia portata in tutti i settori

Ivanti Connect Secure e Policy Secure sono utilizzati da organizzazioni di tutti i settori per consentire funzionalità di lavoro remoto sicure. La base di installazione comprende enti governativi, infrastrutture critiche, aziende Fortune 500, reti sanitarie e altro ancora.

La stessa Ivanti cita oltre 29.000 clienti, con milioni di endpoint protetti dalla sua suite di prodotti. Sebbene non tutti i clienti utilizzino Connect Secure o Policy Secure, rappresentano comunque due delle offerte di punta di Ivanti.

Ricerche precedenti indicano che Connect Secure detiene specificamente una quota di mercato significativa come soluzione VPN. Questi prodotti supportano l'accesso remoto e il BYOD per una parte considerevole delle reti aziendali.

Storia delle vulnerabilità critiche in Ivanti

Sebbene allarmante, quest'ultimo incidente non è senza precedenti per Ivanti. L'azienda ha affrontato altre vulnerabilità di elevata gravità sfruttate in passato:

• Nel 2019, le vulnerabilità critiche di Connect Secure RCE hanno portato ad attacchi attivi e patch di emergenza.
• Nel 2020, una vulnerabilità critica (CVE-2020-8193) ha consentito la lettura di file non autenticati, richiedendo nuovamente l'applicazione di patch di emergenza.
• Nel 2021, Ivanti ha corretto una vulnerabilità critica (CVE-2021-22893) che consentiva il furto delle credenziali e l'RCE.

Chiaramente, Ivanti Connect Secure e Policy Secure sono stati presi di mira sia dai ricercatori che dagli aggressori. Questi ultimi zero giorni si aggiungono a una sfortunata storia di gravi lacune di sicurezza scoperte e sfruttate maliziosamente.

Applicazione di patch e mitigazione

Ivanti ha rilasciato patch per alcune versioni del prodotto e una mitigazione per le versioni attualmente prive di patch:

• Per le versioni supportate: le patch verranno implementate nel programma delle patch di Ivanti tra gennaio e febbraio 2024.
• Per le versioni non supportate: è disponibile una patch di mitigazione, sebbene non risolva i sistemi compromessi.

La mitigazione disabilita l'accesso alla console di amministrazione vulnerabile per ridurre la superficie di attacco. Tuttavia, non risolve la vulnerabilità sottostante, né risolve i casi in cui un dispositivo è già compromesso.

Ivanti consiglia di eseguire l'aggiornamento a una versione supportata prima di implementare la mitigazione. La patch e la mitigazione non contengono dettagli sulla vulnerabilità o informazioni sulla correzione.

Per i sistemi compromessi, Ivanti ha pubblicato uno strumento di verifica dell'integrità. Questo può aiutare a identificare file o risorse modificati che richiedono un'indagine. Data la natura delle vulnerabilità, tuttavia, anche gli strumenti di integrità interni potrebbero essere compromessi. Si consiglia una scansione esterna del traffico e del comportamento di rete.

Valutazione del compromesso e passaggi successivi

Per qualsiasi organizzazione che utilizza Ivanti Connect Secure o Policy Secure, è necessaria un'azione immediata per determinare se lo sfruttamento è già avvenuto:

• Ispeziona il traffico e i log della VPN per individuare eventuali anomalie che potrebbero indicare una compromissione
• Esamina i flussi di rete in entrata e in uscita per individuare attività di scansione o connessioni impreviste
• Verifica la presenza di modifiche non autorizzate al filesystem e alla configurazione del gateway
• Confronta file e file binari con gli indicatori di compromissione di Mandiant
• Valuta la possibilità di isolare i dispositivi VPN per contenere l'impatto se viene rilevato uno sfruttamento

Se viene scoperta una compromissione, esegui un'indagine completa e avvia le procedure di risposta agli incidenti. Le credenziali compromesse devono essere ripristinate, è necessario individuare meccanismi di persistenza aggiuntivi e correggere le modifiche non autorizzate. Le indagini forensi dovrebbero esaminare a quali dati l'aggressore ha avuto accesso, stabilire ulteriori punti di appoggio e se si sono verificati ulteriori movimenti laterali.

Per i dispositivi non compromessi, applica le patch una volta disponibili e implementa i controlli di compensazione. Limita l'utilizzo della VPN al personale essenziale e richiedi un'autenticazione a più fattori aggiuntiva. Riconsiderate le architetture di accesso remoto e garantite una registrazione e un monitoraggio affidabili.

Gestione dell'esposizione informatica ResilientX

I clienti di ResilientX Security possono sfruttare la piattaforma Cyber Exposure Management per identificare rapidamente eventuali istanze Ivanti Connect Secure e Policy Secure rivolte all'esterno nel loro ambiente. Le funzionalità di gestione dell'esposizione rileveranno tutti i gateway VPN accessibili a Internet ed evidenzieranno la presenza di CVE-2024-21887 e CVE-2023-46805. Questa visibilità in tempo reale consente l'applicazione immediata di patch e mitigazione dei sistemi vulnerabili prima che possano essere sfruttati in modo dannoso. L'inventario del software e le funzionalità di gestione delle vulnerabilità identificheranno ulteriormente le versioni non supportate suscettibili di compromissione, in modo da poter implementare in modo proattivo ulteriori difese.

Utilizzando Cyber Exposure Management, abilitando Attack Surface Management (scansione passiva), i clienti possono intervenire rapidamente per valutare e rafforzare i controlli di sicurezza per i prodotti Ivanti VPN contro queste gravi vulnerabilità zero-day.

Conclusione

La gara è iniziata, poiché le aziende si affrettano a determinare la propria esposizione prima che gli aggressori ne traggano vantaggio. Di fronte allo sfruttamento indiscriminato, le aziende devono esaminare attentamente i propri gateway Connect Secure e Policy Secure. Il rilevamento e la risposta rapidi sono essenziali per mitigare i potenziali danni causati da queste gravi vulnerabilità sfruttate da avversari sofisticati.

Anche se le patch aiuteranno, i problemi persisteranno. I sistemi precedenti potrebbero rimanere privi di patch a tempo indeterminato, il debito tecnico continua ad accumularsi e nuove vulnerabilità sono inevitabili. Le organizzazioni devono applicare le lezioni apprese per identificare e affrontare i rischi introdotti dagli strumenti aziendali critici. La valutazione, il monitoraggio e l'aggiornamento proattivi dello stato di sicurezza sono essenziali nella battaglia in corso per colmare le lacune cruciali prima che possano essere sfruttate su larga scala.