Ivanti Bị Tấn Công Zero-Day Lại

Quỹ Shadowserver đã báo cáo về việc khai thác tích cực lỗ hổng zero-day, CVE-2024-21893, trong các sản phẩm của Ivanti, đánh dấu một mối quan ngại lớn về an ninh mạng. Lỗ hổng này, được Ivanti công bố vào ngày 31 tháng 1 năm 2024, đã chứng kiến một sự gia tăng các cuộc tấn công kể từ ngày 2 tháng 2 năm 2024, đặc biệt sau khi Rapid7 công bố một bằng chứng khái niệm về exploit. Hơn 170 địa chỉ IP riêng biệt đã tham gia vào những cuộc tấn công này, nhắm vào thành phần SAML của Ivanti Connect Secure, Ivanti Policy Secure và Ivanti Neurons cho ZTA, cho phép truy cập trái phép vào các tài nguyên bị hạn chế.

Sự cố này là một phần của mô hình rộng lớn hơn về các lỗ hổng trong thiết bị VPN của Ivanti, bao gồm CVE-2023-46805 và CVE-2024-21887, đã được khai thác để thực hiện các lệnh từ xa và tải malware. Ivanti đã phát hành bản vá cho bốn lỗ hổng, bao gồm CVE-2024-21888, và một biện pháp giảm nhẹ thứ hai để xây dựng khả năng chống chịu trước các cuộc tấn công kết hợp CVE-2024-21893 với CVE-2024-21887.

Tuy nhiên, CVE-2024-21893 không phải là một lỗ hổng mới mà là một n-day đã được phát hiện trước đó trong thư viện xmltooling, được theo dõi là CVE-2023-36661 và đã được vá vào tháng 6 năm 2023. Việc khai thác các lỗ hổng zero-day của Ivanti đã được liên kết với nhóm UTA0178, có liên hệ với Trung Quốc, đã xâm phạm ít nhất 20 tổ chức sử dụng thiết bị VPN Ivanti Connect Secure.

Source: HackRead

Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.