ivanti-torna-a-ser-atacada-per-atacs-zero-day

La Fundació Shadowserver ha informat sobre l’explotació activa d’una vulnerabilitat zero-day, CVE-2024-21893, en productes d’Ivanti, marcant una preocupació significativa en ciberseguretat. Aquesta vulnerabilitat, divulgada per Ivanti el 31 de gener de 2024, ha experimentat un augment en els atacs des del 2 de febrer de 2024, especialment després que Rapid7 publiqués una prova de concepte de l’exploit. Més de 170 adreces IP distintes han estat involucrades en aquests atacs, dirigides al component SAML d’Ivanti Connect Secure, Ivanti Policy Secure i Ivanti Neurons per ZTA, permetent l’accés no autoritzat a recursos restringits.

Aquest incident és part d’un patró més ampli de vulnerabilitats en els dispositius VPN d’Ivanti, incloent CVE-2023-46805 i CVE-2024-21887, que han estat explotats per executar comandaments de forma remota i carregar malware. Ivanti ha llançat pegats per a quatre vulnerabilitats, inclosa CVE-2024-21888, i una segona mitigació per construir resiliència contra atacs que encadenen CVE-2024-21893 amb CVE-2024-21887.

No obstant això, CVE-2024-21893 no és una vulnerabilitat nova, sinó un n-day ja descobert a la biblioteca xmltooling, rastrejat com a CVE-2023-36661 i parchejat al juny de 2023. L’explotació dels zero-days d’Ivanti ha estat vinculada al grup UTA0178, associat amb la Xina, comprometent almenys a 20 organitzacions que utilitzen dispositius VPN Ivanti Connect Secure.

Source: HackRead

Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.