Liên minh tình báo Five Eyes (FVEY) đã đưa ra một cảnh báo an ninh mạng mới, cảnh báo về các tác nhân đe dọa mạng lưới sử dụng lỗ hổng bảo mật trong cổng Ivanti Connect Secure và Ivanti Policy Secure, Công cụ Kiểm tra tính toàn vẹn (ICT) có thể bị lừa để cung cấp những sai lệch giả mạo.
Các cơ quan nói: “Ivanti ICT không đủ để phát hiện sự xâm nhập và một hành động mối đe dọa mạng có thể có khả năng giữ được sự xuất hiện ở mức root-level mặc dù đã thực hiện việc khôi phục cài đặt gốc.”
Đến nay, Ivanti đã tiết lộ năm lỗ hổng bảo mật ảnh hưởng đến sản phẩm của mình từ ngày 10 tháng 1 năm 2024, trong số đó có bốn lỗ hổng đã bị nhiều hành động mối đe dọa sử dụng để triển khai phần mềm độc hại:
- CVE-2023-46805 (điểm CVSS: 8.2) – Lỗ hổng bypass xác thực trong thành phần web
- CVE-2024-21887 (điểm CVSS: 9.1) – Lỗ hổng injection lệnh trong thành phần web
- CVE-2024-21888 (điểm CVSS: 8.8) – Lỗ hổng tăng quyền trong thành phần web
- CVE-2024-21893 (điểm CVSS: 8.2) – Lỗ hổng SSRF trong thành phần SAML
- CVE-2024-22024 (điểm CVSS: 8.3) – Lỗ hổng XXE trong thành phần SAML
Trong một bài phân tích được công bố ,Mandiant đã mô tả cách một phiên bản mã độc hại được mã hóa với tên là BUSHWALK được đặt trong một thư mục được loại trừ bởi ICT tại /data/runtime/cockpit/disk Analysis.
Các thư mục bị loại trừ cũng được Eclypsium nêu rõ trong tháng này, cho biết công cụ sẽ bỏ qua nhiều thư mục khỏi quá trình quét, từ đó cho phép một kẻ tấn công để để cửa sau một trong những đường dẫn này và vẫn vượt qua kiểm tra tính toàn vẹn.
“Biện pháp an toàn nhất cho những người bảo vệ mạng là giả định rằng một kẻ tấn công mạng tinh vi có thể duy trì triển khai ở mức rootkit trên một thiết bị đã được đặt lại và nằm im lặng trong một khoảng thời gian tùy ý,” các cơ quan từ Úc, Canada, New Zealand, Anh và Mỹ nói.
Họ cũng khuyến nghị các tổ chức “xem xét nguy cơ đáng kể về việc kẻ thù tiếp cận và duy trì trên cổng Ivanti Connect Secure và Ivanti Policy Secure khi quyết định liệu có tiếp tục vận hành các thiết bị này trong môi trường doanh nghiệp hay không.”
Ivantii cho biết không có thông tin về bất kỳ sự xuất hiện nào của kẻ đe dọa thành công sau khi triển khai các bản cập nhật bảo mật và thiết lập lại nhà máy. Họ cũng đang phát hành một phiên bản mới của ICT nói rằng “cung cấp thêm khả năng quan sát bổ sung thiết bị của khách hàng và tất cả các tệp tin hiện có trên hệ thống.”
