Sommario

Vulnerabilità di Ivanti VPN: Quello che deve sapere

Sommario

Gli hacker sponsorizzati dallo Stato cinese hanno preso di mira le vulnerabilità recentemente annunciate nei prodotti VPN di Ivanti, i gateway Ivanti Connect Secure (ex Pulse Secure) e Ivanti Policy Secure. Queste vulnerabilità sono segnalate come CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 e CVE-2024-21893.

Se utilizzate insieme, queste vulnerabilità possono consentire il bypass dell'autenticazione non autorizzata e l'esecuzione di comandi in remoto. Ivanti ha rilasciato delle patch per queste vulnerabilità per le versioni più utilizzate dei suoi prodotti, ma l'azienda non ha ancora rilasciato patch per tutte le versioni vulnerabili dei suoi prodotti. Questo comporta un rischio maggiore di escalation dei privilegi e di contraffazione delle richieste lato server per coloro che non sono ancora in grado di applicare una patch.

 

Misure di sicurezza e raccomandazioni di Ivanti

Unit 42® consiglia l'applicazione immediata di una patch per queste vulnerabilità, non appena viene resa disponibile, e un atteggiamento proattivo di reset del sistema prima di applicare la patch, per garantire l'integrità dell'ambiente. In risposta alle vulnerabilità appena scoperte, facciamo eco alla raccomandazione della CISA di scollegare dalla rete le soluzioni compromesse e sottolineiamo l'importanza di applicare diligentemente le patch disponibili o in arrivo.

Nell'ultimo segmento del podcast di Threat Vector, gli esperti di cybersecurity di Unit 42, Sam Rubin, VP e Responsabile globale delle operazioni, e Ingrid Parker, Senior Manager dell'Unità di risposta Intel, approfondiscono le vulnerabilità critiche riscontrate nei prodotti Connect Secure e Policy Security di Ivanti. Esplorano l'impatto potenziale delle vulnerabilità, l'urgenza della mitigazione e le strategie di difesa.

Podcast vettoriale
white triangle

Si abboni e ascolti tramite il suo lettore podcast preferito

 

Unit 42 Casi di risposta agli incidenti

Le campagne di sfruttamento delle vulnerabilità CVE-2023-46805 e CVE-2024-21887 di Ivanti si sono verificate in tre ondate distinte.

La prima ondata è durata almeno dalla seconda settimana di dicembre 2023 al 10 gennaio 2024, quando Volexity ha pubblicato il suo primo post sul blog. Gli attacchi di questa campagna erano mirati e presentavano molteplici shell web personalizzate e movimenti laterali. L'Unit 42 ha risposto ad attività di minaccia che probabilmente corrispondevano a questa ondata di campagne.

In modo simile all'attività discussa nel post sul blog di Volexity, abbiamo osservato l'attore di minacce svolgere le seguenti attività:

  • Archiviazione dei file, incluso NTDS.dit, con 7-Zip prima dell'esfiltrazione.
  • Creare un dump della memoria del processo LSASS utilizzando il Task Manager di Windows (Taskmgr.exe).
  • Spostamento laterale tramite protocollo desktop remoto (RDP)
  • Eliminazione dei registri

La seconda ondata è iniziata dopo il primo post sul blog di Volexity, il 10 gennaio 2024. Questa ondata è stata caratterizzata da un passaggio dagli attacchi mirati allo sfruttamento di massa da parte di ulteriori attori di minacce.

L'Unit 42 ha risposto a casi di attività di minaccia che probabilmente corrispondevano a questa ondata di campagne. L'attività di minaccia è stata coerente in tutti questi casi.

L'attore di minacce ha scaricato i dati di configurazione contenenti schema, impostazioni, nomi e credenziali dei vari utenti e account all'interno della rete, ma non ha eseguito alcun movimento laterale come gli incidenti verificatisi nella prima ondata.

L'Unit 42 ritiene che gli attori di minacce dietro questa attività potrebbero aver spostato l'attenzione su uno sfruttamento più ampio per massimizzare l'impatto prima che le organizzazioni potessero iniziare ad applicare le patch e la guida alla mitigazione.

La terza ondata è iniziata già il 16 gennaio 2024, quando gli exploit proof-of-concept (PoC) sono diventati disponibili pubblicamente. Il rilascio di questi exploit porta allo sfruttamento di massa da parte di una serie di attori con varie motivazioni e gradi di sofisticazione, tra cui entità criminali che distribuiscono ampiamente cryptominer e vari software di monitoraggio e gestione remota (RMM).

L'Unit 42 ha risposto a un'attività di minaccia che probabilmente corrispondeva a questa ondata, da parte di un attore di minacce che utilizzava un exploit PoC pubblicamente disponibile. Attualmente stiamo supportando i nostri clienti nelle indagini su questi incidenti.

Strategie di difesa complete per Ivanati

La scoperta di queste vulnerabilità sottolinea la necessità di misure di sicurezza vigili e di capacità di risposta rapida. Ciò ha evidenziato vulnerabilità critiche di sicurezza all'interno delle tecnologie di rete privata virtuale (VPN) ampiamente utilizzate e sfruttate da sofisticati attori di minacce. Queste vulnerabilità consentono l'accesso e il controllo non autorizzati, comportando rischi significativi per le reti organizzative.

Le seguenti strategie sono fondamentali per mantenere una solida posizione di sicurezza contro le minacce informatiche in evoluzione, garantendo la protezione delle informazioni sensibili e delle infrastrutture critiche:

  • Inventari i suoi beni: Cataloga tutti i dispositivi, i sistemi e il software della rete.
  • Scelga gli strumenti giusti: Utilizzi gli strumenti di scansione delle vulnerabilità più adatti alla complessità e alla scala del suo ambiente IT.
  • Scansiona le vulnerabilità: Esegua regolarmente delle scansioni per identificare i punti deboli della sicurezza nei suoi sistemi.
  • Analizzare i risultati: Esamini attentamente i risultati della scansione per dare priorità alle vulnerabilità in base alla loro gravità e all'impatto potenziale.
  • Rimediate e applicate le patch: Applicare le patch o i workaround necessari per mitigare le vulnerabilità identificate.
  • Ripetere e rivedere: Monitorare e rivalutare la sua postura di sicurezza per adattarsi alle nuove minacce.

Si assicuri di controllare il nostro rapporto avanzato sulle minacce emergenti di Ivanti:

Rapporto sulle minacce emergenti dell'Unità 42

Rapporto sulle minacce emergenti dell'Unit 42: Vulnerabilità multiple di Ivanti

Adottare una Strategia di Cybersecurity completa.

Adottare misure significative per proteggere la sua rete da potenziali minacce informatiche è essenziale. Alcuni metodi per salvaguardare la sua rete includono il nascondere le applicazioni e le VPN dalla visibilità pubblica di Internet, per proteggerle dagli aggressori. Dovrebbe anche ispezionare accuratamente tutto il traffico in entrata e in uscita per neutralizzare le minacce come il malware e gli exploit zero-day.

L'applicazione del principio del minimo privilegio nella sua rete è un altro passo fondamentale. Questo assicura che gli utenti possano accedere solo alle risorse necessarie per i loro ruoli. Dovrebbe anche rafforzare i controlli di accesso utilizzando una solida autenticazione a più fattori per verificare efficacemente le identità degli utenti.

Si raccomanda anche di collegare gli utenti direttamente alle applicazioni piuttosto che alla rete più ampia. Questo riduce al minimo i danni potenziali derivanti da incidenti di sicurezza. L'utilizzo del monitoraggio continuo è essenziale anche per identificare e mitigare le minacce poste da insider compromessi o da attori esterni.

Per proteggere i dati sensibili, è necessario applicare un monitoraggio diligente e la crittografia sia in transito che a riposo. L'impiego di tecnologie di inganno e la ricerca proattiva delle minacce possono aiutare a identificare e neutralizzare le minacce prima che possano causare danni.

Promuovere una cultura di consapevolezza della sicurezza all'interno della sua organizzazione può anche difendere da vettori comuni come il phishing. Valutare regolarmente le sue misure di sicurezza attraverso valutazioni e simulazioni può aiutare a identificare e risolvere le vulnerabilità.

Approccio Zero Trust di Palo Alto Networks

In risposta a queste minacce, Palo Alto Networks sottolinea la criticità di un'architettura Zero Trust, che fornisce un accesso sicuro e segmentato alle applicazioni senza esporle alle minacce dirette di Internet. Le nostre soluzioni, comprese le politiche di prevenzione avanzata delle minacce e di segmentazione, sono progettate per minimizzare la superficie di attacco, impedire l'accesso non autorizzato e rilevare e rispondere alle minacce in tempo reale.

 

10 domande e risposte FAQ sulla vulnerabilità Ivanti per i professionisti della sicurezza aziendale

La vulnerabilità Ivanti si riferisce a cinque vulnerabilità elevate o critiche (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893 e CVE-2024-22024) divulgate da Ivanti nei suoi prodotti Connect Secure e Policy Secure. Queste vulnerabilità spaziano dalle vulnerabilità di bypass dell'autenticazione e di iniezione di comandi alle vulnerabilità di escalation dei privilegi e di falsificazione delle richieste lato server.
Queste vulnerabilità possono consentire l'accesso non autorizzato ai prodotti Ivanti, portando all'esecuzione di comandi non autorizzati, all'escalation dei privilegi e all'accesso a risorse riservate. Queste vulnerabilità rappresentano rischi significativi per le reti aziendali e possono portare a violazioni dei dati o a interruzioni dei servizi di rete.
Se sfruttate, queste vulnerabilità possono dare agli aggressori l'accesso a risorse riservate, consentire l'escalation dei privilegi fino al livello di amministratore e persino l'esecuzione di comandi arbitrari sull'appliance. Queste vulnerabilità sfruttate potrebbero portare a violazioni dei dati, interruzioni dei servizi di rete e ulteriori infiltrazioni nella rete.
Ivanti ha messo a disposizione uno strumento External Integrity Checker che può eseguire per verificare la presenza di segni di queste vulnerabilità nei suoi prodotti Ivanti. Questo strumento è stato aggiornato con funzionalità aggiuntive per risolvere queste vulnerabilità.
Se i suoi prodotti Ivanti sono interessati, Ivanti raccomanda di applicare le patch fornite non appena disponibili. Per i prodotti in cui le patch non sono ancora disponibili, Ivanti suggerisce di eseguire un workaround fino al rilascio delle patch.
Se sospetta che queste vulnerabilità siano state sfruttate, deve scollegare i prodotti Ivanti interessati dalla sua rete, come raccomanda il CISA. Dovrebbe anche avviare un processo di risposta agli incidenti, indagare per individuare i segni di compromissione e prendere in considerazione la possibilità di avvalersi di un'assistenza professionale in materia di cybersecurity. Palo Alto Networks Unit 42 può aiutarla, ci chiami.
La scansione regolare delle vulnerabilità, l'applicazione tempestiva delle patch e i piani di risposta agli incidenti sono fondamentali per proteggere la sua organizzazione. È inoltre essenziale seguire le migliori pratiche di sicurezza, come l'accesso con privilegi minimi, l'autenticazione a più fattori e la segmentazione della rete.
Gli IOC specifici possono variare, tra cui traffico di rete insolito, comportamento inaspettato del sistema e prove di accesso non autorizzato o di escalation dei privilegi. IOC più specifici possono essere forniti da Ivanti o dal suo fornitore di soluzioni di sicurezza.
A partire dall'ultimo aggiornamento, sono state esposte oltre 28.000 istanze di Ivanti Connect Secure e Policy Secure in 145 Paesi. Sono stati osservati oltre 600 casi compromessi. Queste vulnerabilità sono state sfruttate attivamente almeno dall'inizio di dicembre 2023.
Sì, i clienti di Palo Alto Networks possono implementare le mitigazioni per queste vulnerabilità utilizzando vari prodotti e funzioni come Palo Alto Networks Next-Generation Firewall di nuova generazione con Threat Prevention avanzata, Advanced WildFire, Advanced URL Filtering e DNS Security, e Cortex XDR e XSIAM.
Contenuti correlati
Governance della sicurezza delle informazioni
Proteggere le informazioni in modo coerente in tutta l'azienda significa avere le persone giuste per allineare il programma di sicurezza informatica con la strategia aziendale e te...
Utilizza i criteri sui dati per scansionare l'esposizione dei dati o il malware.
Rileva il malware e previene l'esposizione involontaria o dolosa di dati sensibili con profili e modelli di dati predefiniti.
5 Organizzazioni ottengono visibilità e conformità a 360°.
Scopra come le organizzazioni ottengono una visibilità centralizzata sugli ambienti cloud per rimediare alle vulnerabilità ed eliminare le minacce.
Visibilità e classificazione dei dati
Molte organizzazioni non hanno sufficiente visibilità sui tipi di dati critici, come le informazioni di identificazione personale. Questo diventa problematico quando si devono affr...

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce