Ivanti herstelt twee zero-days die worden aangevallen, maar vindt er nog een

Ivanti herstelt twee zero-days die worden aangevallen, maar vindt er nog een

Ivanti waarschuwde woensdag dat hackers misbruik maken van een nog niet eerder bekendgemaakte zero-day-kwetsbaarheid die het veelgebruikte zakelijke VPN-apparaat treft.

Sinds begin december misbruiken Chinese staatshackers de fouten van Ivanti Connect Secure – bijgehouden als CVE-2023-46805 en CVE-2024-21887 – om in te breken in klantnetwerken en informatie te stelen.

gracht reclame

Ivanti is nu waarschuwing dat het twee extra fouten heeft ontdekt – bijgehouden als CVE-2024-21888 en CVE-2024-21893 – die van invloed zijn op zijn Connect Secure VPN-product. De eerste wordt beschreven als een kwetsbaarheid bij escalatie van privileges, terwijl de laatste – bekend als een zero-day omdat Ivanti geen tijd had om de bug te repareren voordat hackers er misbruik van gingen maken – een server-side bug is die een aanvaller toegang geeft tot bepaalde beperkte bronnen. zonder authenticatie.

In zijn bijgewerkte openbaarmaking zei Ivanti dat het gerichte exploitatie van de server-side bug heeft waargenomen. Dat heeft het Duitse Federale Bureau voor Informatiebeveiliging, bekend als de BSI, gezegd woensdag een vertaald advies dat het kennis heeft van meerdere gecompromitteerde systemen.

De BSI voegde eraan toe dat de nieuw ontdekte kwetsbaarheden, met name de bug aan de serverzijde, alle eerder verholpen systemen opnieuw in gevaar brengen. Ivanti bevestigde dat het een scherpe toename van de uitbuiting verwacht zodra de details van de kwetsbaarheid openbaar worden gemaakt.

Ivanti heeft deze inbraken niet toegeschreven aan een bepaalde dreigingsgroep. Cybersecuritybedrijven Volexity en Mandiant schreven de exploitatie van de eerste ronde van Connect Secure-bugs eerder toe aan een door de Chinese overheid gesteunde hackgroep, gemotiveerd door spionage. Volexity zei ook dat het meer hackgroepen had waargenomen die actief misbruik maakten van de bugs.

Ivanti heeft het aantal getroffen klanten bijgewerkt naar minder dan 20. Toen Gadget Insider woensdag werd bereikt, wilde Kareena Garg, een woordvoerder van het bureau die Ivanti vertegenwoordigde, niet zeggen hoeveel klanten door de nieuwe kwetsbaarheden worden getroffen.

Dat zei Volexity echter eerder deze maand dat er wereldwijd minstens 1.700 Ivanti Connect Secure-apparaten zijn waren uitgebuit door de eerste reeks tekortkomingen, die organisaties in de lucht- en ruimtevaart-, bank-, defensie-, overheids- en telecommunicatie-industrie troffen, hoewel het aantal waarschijnlijk veel hoger zou liggen.

nieuwe emoji's voor ios 16.4

Dit geldt in het bijzonder in het licht van a CISA-advies dinsdag vrijgegeven, waarin werd gewaarschuwd dat aanvallers tijdelijke oplossingen voor de huidige oplossingen en detectiemethoden hadden omzeild.

Ivanti’s onthulling van de nieuwe zero-day komt op dezelfde dag dat het bedrijf een patch uitbracht ter bescherming tegen de eerder onthulde – en vervolgens op grote schaal misbruikte – Connect Secure-kwetsbaarheden, zij het een week later dan het bedrijf oorspronkelijk had gepland. Ivanti-woordvoerder Garg vertelde Gadget Insider dat de patches ook beschermen tegen de twee nieuwe kwetsbaarheden die woensdag zijn onthuld.

Het is onduidelijk of de patch beschikbaar is voor alle Ivanti Connect Secure-gebruikers, aangezien het bedrijf eerder zei dat het van plan was de patch vanaf 22 januari gespreid uit te brengen. Ivanti adviseert klanten nu om hun apparaat naar de fabrieksinstellingen te resetten voordat de patch wordt toegepast, om te voorkomen dat de bedreigingsacteur upgrade-persistentie in uw omgeving krijgt.

Door de staat gesteunde hackers maken misbruik van de nieuwe Ivanti VPN zero-days, maar er zijn nog geen patches