Oltre 13.000 gateway Ivanti sono vulnerabili a bug attivamente sfruttati, con migliaia di endpoint Ivanti Connect Secure e Policy Secure esposti a molteplici problemi di sicurezza divulgati per la prima volta oltre un mese fa. Queste vulnerabilità, gradualmente corrette dal fornitore, variano da gravi a critiche e riguardano problemi come il bypass dell’autenticazione, la falsificazione delle richieste lato server, l’esecuzione arbitraria di comandi e l’iniezione di comandi.
Alcune di queste vulnerabilità sono state sfruttate da attori statali prima di essere utilizzate su larga scala da una vasta gamma di minacce. La vulnerabilità CVE-2024-22024, in particolare, è un problema XXE nel componente SAML di Ivanti Connect Secure, Policy Secure e ZTA gateway che consente l’accesso non autorizzato a risorse riservate. Nonostante non ci siano ancora conferme di sfruttamento attivo, l’attività di scansione mirata a questa falla è già iniziata, con picchi di 240.000 richieste e 80 IP che tentano di inviare payload.
Shadowserver riporta che oltre 3.900 endpoint Ivanti sono vulnerabili a CVE-2024-22024, con la maggior parte negli Stati Uniti. Inoltre, circa 1.000 endpoint Ivanti sono ancora vulnerabili a CVE-2024-21887, una falla che consente agli amministratori autenticati di eseguire comandi arbitrari inviando richieste appositamente create.
Nonostante gli aggiornamenti di sicurezza per queste vulnerabilità siano stati resi disponibili da Ivanti più di un mese fa, la ricerca mostra che una significativa porzione dei server Ivanti esposti su Internet non ha ancora applicato le patch, lasciando più della metà di essi non protetti. Questo espone un gran numero di sistemi Ivanti al rischio di essere sfruttati da attori di minacce, complicando gli sforzi di rimedio e aumentando il rischio di esposizione prolungata a queste vulnerabilità.