Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vrijdag een noodrichtlijn uitgevaardigd waarin het er bij de agentschappen van de Federal Civilian Executive Branch (FCEB) op aandringt om maatregelen te treffen tegen twee actief uitgebuite zero-day-fouten in Ivanti Connect Secure (ICS) en Ivanti Policy Secure (IPS). producten.
De ontwikkeling kwam nadat de kwetsbaarheden – een authenticatie-bypass (CVE-2023-46805) en een code-injectiebug (CVE-2024-21887) – op grote schaal werden uitgebuit door meerdere bedreigingsactoren. Door de gebreken kan een kwaadwillende actor kwaadwillige verzoeken opstellen en willekeurige opdrachten op het systeem uitvoeren.
Het Amerikaanse bedrijf erkende in een advies dat het getuige was geweest van een “sterke toename van de activiteit van bedreigingsactoren” vanaf 11 januari 2024, nadat de tekortkomingen openbaar waren gemaakt.
“Succesvolle exploitatie van de kwetsbaarheden in deze getroffen producten stelt een kwaadwillende bedreigingsacteur in staat zich lateraal te verplaatsen, data-exfiltratie uit te voeren en persistente systeemtoegang tot stand te brengen, wat resulteert in volledige compromittering van doelinformatiesystemen”, aldus het agentschap.
Ivanti, dat naar verwachting volgende week een update zal uitbrengen om de fouten te verhelpen, heeft een tijdelijke oplossing beschikbaar gesteld via een XML-bestand dat in getroffen producten kan worden geïmporteerd om de noodzakelijke configuratiewijzigingen aan te brengen.
CISA dringt er bij organisaties die ICS gebruiken op aan om de beperking toe te passen en een External Integrity Checker Tool uit te voeren om tekenen van compromittering te identificeren, en indien gevonden, deze los te koppelen van de netwerken en het apparaat te resetten, gevolgd door het importeren van het XML-bestand.
Daarnaast worden FCEB-entiteiten dringend verzocht om alle opgeslagen certificaten in te trekken en opnieuw uit te geven, het beheerderswachtwoord opnieuw in te stellen, API-sleutels op te slaan en de wachtwoorden van elke lokale gebruiker die op de gateway is gedefinieerd, opnieuw in te stellen.
Cyberbeveiligingsbedrijven Volexity en Mandiant hebben aanvallen waargenomen die de dubbele tekortkomingen bewapenen door webshells en passieve achterdeuren in te zetten voor permanente toegang tot gecompromitteerde apparaten. Naar schatting zijn tot nu toe maar liefst 2.100 apparaten wereldwijd gecompromitteerd.
De eerste aanvalsgolf die in december 2023 werd geïdentificeerd, wordt toegeschreven aan een Chinese natiestaatgroep die wordt gevolgd als UTA0178. Mandiant houdt de activiteit in de gaten onder de naam UNC5221, hoewel deze niet aan een specifieke groep of land is gekoppeld.
Bedreigingsinformatiebedrijf GreyNoise zei dat het ook heeft waargenomen dat de kwetsbaarheden worden misbruikt om hardnekkige achterdeurtjes en XMRig-cryptocurrency-miners te laten vallen, wat wijst op opportunistische uitbuiting door slechte actoren voor financieel gewin.
