Kritične ranjivosti u Ivanti Connect Secure sustavu
Dana 10. siječnja 2024. godine, tvrtka Ivanti je izdala obavijest o dvije kritične ranjivosti nultog dana (engl. zero day) u Ivanti Connect Secure (ICS) i Policy Secure pristupnicima (engl. gateways). Ranjivosti identificirane kao CVE-2023-46805 i CVE-2024-21887 aktivno se zloupotrebljavaju i omogućavaju udaljenim napadačima izvršavanje proizvoljnih naredbi na ranjivim pristupnicima. Ivanti Connect Secure (ICS) je od ranije poznat kao Pulse Connect Secure.
Tehnički detalji ključnih ranjivosti:
- Ranjivost CVE-2023-46805 (CVSS ocjena 8,2) predstavlja zaobilaženje autentifikacije u web komponenti pristupnika. Ovaj propust omogućuje napadačima pristup ograničenim resursima zaobilazeći kontrolne provjere.
- Ranjivost CVE-2024-21887 (CVSS ocjena 9,1) predstavlja ranjivost ubacivanja naredbi koja omogućava autentificiranim administratorima izvršavanje proizvoljnih naredbi na ranjivim uređajima slanjem posebno oblikovanih zahtjeva.
- U slučaju ulančanog iskorištavanja ranjivosti neautentificirani napadači mogu izvršavati proizvoljne naredbe na svim podržanim verzijama zahvaćenih proizvoda.
Zahvaćeni proizvodi:
Sve podržane verzije Ivanti Connect Secure (ICS) i Policy Secure pristupnika.
Preporuke:
U trenutku pisanja članka nisu dostupne sigurnosne zakrpe za navedene ranjivosti, te se preporučuje žurno provođenje mjera ublažavanja štetnih posljedica povezanih s ranjivosti.
Ublažavanje štetnih posljedica povezanih s ranjivosti:
Dok se ne izdaju sigurnosne zakrpe, navedene ranjivosti nultog dana mogu se ublažiti implementacijom Ivanti-jeve datoteke "mitigation.release.20240107.1.xml" dostupne korisnicima putem Ivanti-ovog portala za preuzimanje.
Zbog zabilježenih pokušaja manipulacije internim alatom za provjeru integriteta (engl. Integrity Checker Tool - ICT) od strane napadača, kao preventivnu mjeru, Ivanti preporučuje korisnicima pokretanje vanjskog ICT alata.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.bleepingcomputer.com/news/security/ivanti-warns-of-connect-secure-zero-days-exploited-in-attacks/
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
- https://forums.ivanti.com/s/article/KB44755?language=en_US
[inicijalna objava: 11.1.2024 - 15:15]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava