Ivanti waarschuwt voor twee nieuwe, ernstige tekortkomingen in zijn Connect Secure- en Policy Secure-producten, waarvan er één in het wild gericht zou zijn uitgebuit.
De lijst met kwetsbaarheden is als volgt:
- CVE-2024-21888 (CVSS-score: 8,8) – Een kwetsbaarheid bij escalatie van bevoegdheden in de webcomponent van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure (9.x, 22.x) stelt een gebruiker in staat zijn bevoegdheden te verhogen naar die van een administrator
- CVE-2024-21893 (CVSS-score: 8,2) – Een kwetsbaarheid voor het vervalsen van verzoeken aan de serverzijde in de SAML-component van Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) en Ivanti Neurons voor ZTA maakt het mogelijk een aanvaller om zonder authenticatie toegang te krijgen tot bepaalde beperkte bronnen
Het in Utah gevestigde softwarebedrijf zei dat het tot nu toe geen bewijs heeft gevonden dat klanten getroffen zijn door CVE-2024-21888, maar erkende dat “de exploitatie van CVE-2024-21893 doelgericht lijkt te zijn”.
Het merkte verder op dat het “verwacht dat de dreigingsactoren zijn gedrag veranderen en we verwachten een scherpe toename van de uitbuiting zodra deze informatie openbaar is.”
Naast de publieke bekendmaking van de twee nieuwe kwetsbaarheden heeft Ivanti oplossingen uitgebracht voor Connect Secure versies 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 en 22.5R1.1, en ZTA versie 22.6R1 .3.
“Uit een overvloed aan voorzichtigheid raden we als beste praktijk aan dat klanten hun apparaat in de fabrieksinstellingen resetten voordat ze de patch toepassen, om te voorkomen dat de bedreigingsacteur upgrade-persistentie in uw omgeving verkrijgt”, aldus het rapport. “Klanten mogen verwachten dat dit proces 3-4 uur duurt.”
Als tijdelijke oplossing voor CVE-2024-21888 en CVE-2024-21893 wordt gebruikers aangeraden het bestand “mitigation.release.20240126.5.xml” te importeren.
De nieuwste ontwikkeling komt omdat twee andere tekortkomingen in hetzelfde product – CVE-2023-46805 en CVE-2024-21887 – breed uitgebuit zijn door meerdere bedreigingsactoren om achterdeurtjes, cryptocurrency-mijnwerkers en een op Rust gebaseerde lader genaamd KrustyLoader in te zetten.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zegt in een nieuw advies dat vandaag is gepubliceerd dat tegenstanders de twee tekortkomingen benutten om inloggegevens te bemachtigen en webshells te laten vallen die verdere compromittering van bedrijfsnetwerken mogelijk maken.
“Sommige bedreigingsactoren hebben onlangs oplossingen ontwikkeld voor de huidige mitigatie- en detectiemethoden en zijn in staat geweest zwakke punten te exploiteren, lateraal te bewegen en privileges te escaleren zonder detectie”, aldus het agentschap.
“Geavanceerde dreigingsactoren hebben de externe integriteitscontroletool (ICT) ondermijnd, waardoor de sporen van hun inbreuk verder zijn geminimaliseerd.”
