Cơ quan An ninh mạng và An toàn Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành một chỉ thị khẩn cấp, yêu cầu các cơ quan Thực thi Dân sự Liên bang (FCEB) triển khai các biện pháp giảm nhẹ đối với hai lỗ hổng zero-day đang bị khai thác một cách chủ động trong các sản phẩm Ivanti Connect Secure (ICS) và Ivanti Policy Secure (IPS).
Sự phát triển này sau khi các lỗ hổng (CVE-2023-46805 và CVE-2024-21887) bị khai thác bởi nhiều tác nhân đe dọa khác nhau. Những lỗ hổng này cho phép tác động tạo ra các yêu cầu độc hại và thực thi các lệnh tùy ý trên hệ thống.
Công ty Hoa Kỳ thừa nhận trong một khuyến cáo rằng họ đã chứng kiến “sự gia tăng mạnh mẽ về hoạt động của tác nhân đe dọa” bắt đầu từ ngày 11 tháng 1 năm 2024, sau khi những điểm yếu được tiết lộ công khai.
Khai thác thành công các lỗ hổng trong những sản phẩm bị ảnh hưởng này cho phép kẻ tấn công thực hiện xâm nhập dữ liệu và thiết lập quyền truy cập hệ thống lâu dài, dẫn đến việc chiếm đoạt hoàn toàn thông tin mục tiêu của các hệ thống,”
Ivanti dự kiến sẽ phát hành một bản cập nhật để khắc phục các lỗ hổng vào cuối tháng 1, đã có sẵn một biện pháp tạm thời thông qua một tệp XML có thể được nhập vào các sản phẩm bị ảnh hưởng để thực hiện các thay đổi cấu hình cần thiết.
CISA kêu gọi các tổ chức vận hành ICS áp dụng biện pháp giảm thiểu và sử dụng Công cụ Kiểm tra Tính toàn vẹn Bên ngoài để xác định dấu hiệu của sự xâm phạm, và nếu phát hiện, ngắt kết nối chúng khỏi mạng và thiết lập lại thiết bị, sau đó nhập tệp XML.
Ngoài ra, FCEB được khuyến khích thu hồi và cấp lại bất kỳ chứng chỉ nào đã lưu trữ, đặt lại mật khẩu kích hoạt quản trị viên, lưu trữ khóa API và đặt lại mật khẩu của bất kỳ người dùng cục bộ nào được xác định trên cổng.
Các công ty an ninh mạng Volexity và Mandiant đã quan sát thấy các cuộc tấn công vũ khí hóa hai lỗ hổng để triển khai web shell và backdoorch passive để truy cập liên tục vào các thiết bị bị xâm nhập. Đến nay, có tới 2.100 thiết bị trên toàn thế giới được ước tính bị xâm nhập.
