De inlichtingenalliantie Five Eyes (FVEY) heeft een nieuwe waarschuwing afgegeven voor cyberdreigingsactoren die bekende beveiligingsfouten in Ivanti Connect Secure en Ivanti Policy Secure gateways misbruiken, waarbij wordt opgemerkt dat de Integrity Checker Tool (ICT) kan worden misleid om een vals gevoel te geven van veiligheid.
“Ivanti ICT is niet voldoende om compromissen te detecteren en dat een actor van cyberdreigingen in staat zou kunnen zijn om doorzettingsvermogen op rootniveau te verwerven ondanks het uitvoeren van fabrieksresets”, aldus de agentschappen.
Tot nu toe heeft Ivanti vijf beveiligingskwetsbaarheden bekendgemaakt die van invloed zijn op zijn producten sinds 10 januari 2024, waarvan er vier actief zijn uitgebuit door meerdere bedreigingsactoren om malware in te zetten –
- CVE-2023-46805 (CVSS-score: 8.2) – Authenticatie omzeilt kwetsbaarheid in webcomponent
- CVE-2024-21887 (CVSS-score: 9,1) – Kwetsbaarheid voor commando-injectie in webcomponent
- CVE-2024-21888 (CVSS-score: 8,8) – Kwetsbaarheid bij escalatie van bevoegdheden in webcomponent
- CVE-2024-21893 (CVSS-score: 8,2) – SSRF-kwetsbaarheid in de SAML-component
- CVE-2024-22024 (CVSS-score: 8,3) – XXE-kwetsbaarheid in de SAML-component
Mandiant beschreef in een deze week gepubliceerde analyse hoe een gecodeerde versie van malware, bekend als BUSHWALK, in een map wordt geplaatst die door ICT is uitgesloten in /data/runtime/cockpit/diskAnalysis.
De directory-uitsluitingen werden deze maand ook al benadrukt door Eclypsium, waarin staat dat de tool een tiental directory’s overslaat zodat ze niet worden gescand, waardoor een aanvaller achterdeurtjes in een van deze paden kan achterlaten en toch de integriteitscontrole kan doorstaan.
“De veiligste handelwijze voor netwerkverdedigers is ervan uit te gaan dat een geavanceerde bedreigingsacteur persistentie op rootkitniveau kan inzetten op een apparaat dat is gereset en gedurende een willekeurige tijd inactief is geweest”, zeggen agentschappen uit Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk. , en de VS zeiden.
Ze drongen er ook bij organisaties op aan om “het aanzienlijke risico van toegang en persistentie van Ivanti Connect Secure en Ivanti Policy Secure-gateways door tegenstanders in overweging te nemen bij het bepalen of deze apparaten in een bedrijfsomgeving moeten worden voortgezet.”
Ivanti zei in reactie op het advies dat het niet op de hoogte is van gevallen van succesvolle persistentie van bedreigingsactoren na de implementatie van beveiligingsupdates en fabrieksresets. Het brengt ook een nieuwe versie van ICT uit die naar eigen zeggen “extra inzicht biedt in het apparaat van een klant en alle bestanden die op het systeem aanwezig zijn.”
