ivanti-colpita-nuovamente-da-attacchi-zero-day

La Fondazione Shadowserver ha segnalato lo sfruttamento attivo di una vulnerabilità zero-day, CVE-2024-21893, nei prodotti Ivanti, segnando una preoccupazione significativa per la sicurezza informatica. Questa vulnerabilità, divulgata da Ivanti il 31 gennaio 2024, ha visto un aumento degli attacchi dal 2 febbraio 2024, in particolare dopo che Rapid7 ha rilasciato una dimostrazione pratica dell’exploit. Oltre 170 indirizzi IP distinti sono stati coinvolti in questi attacchi, prendendo di mira il componente SAML di Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons per ZTA, consentendo l’accesso non autorizzato a risorse riservate.

Questo incidente fa parte di un modello più ampio di vulnerabilità negli apparecchi VPN di Ivanti, inclusi CVE-2023-46805 e CVE-2024-21887, che sono stati sfruttati per eseguire comandi da remoto e caricare malware. Ivanti ha rilasciato patch per quattro vulnerabilità, inclusa CVE-2024-21888, e una seconda mitigazione per costruire resilienza contro attacchi che concatenano CVE-2024-21893 con CVE-2024-21887.

Tuttavia, CVE-2024-21893 non è una nuova vulnerabilità ma un n-day già scoperto nella libreria xmltooling, tracciato come CVE-2023-36661 e patchato nel giugno 2023. Lo sfruttamento dei zero-day di Ivanti è stato collegato al gruppo UTA0178, associato alla Cina, che ha compromesso almeno 20 organizzazioni utilizzando apparecchi VPN Ivanti Connect Secure.

Source: HackRead

Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.