La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto due nuove vulnerabilità al suo Catalogo di Vulnerabilità Sfruttate Conosciute, basandosi su prove di sfruttamento attivo e che interessano Microsoft, Ivanti e Fortinet. Le vulnerabilità aggiunte sono:
- CVE-2024-21887: Vulnerabilità di iniezione di comandi in Ivanti Connect Secure e Policy Secure.
- CVE-2023-46805: Vulnerabilità di bypass dell’autenticazione in Ivanti Connect Secure e Policy Secure.
Inoltre, CISA ha aggiunto una vulnerabilità sfruttata conosciuta:
- CVE-2023-29357: Vulnerabilità di escalation dei privilegi nel Microsoft SharePoint Server.
Queste vulnerabilità rappresentano rischi significativi per l’impresa federale e sono frequenti vettori di attacco per attori cyber malintenzionati.
Fortinet Rilascia Aggiornamenti di Sicurezza
Fortinet ha rilasciato aggiornamenti di sicurezza per FortiOS e FortiProxy. Questi aggiornamenti sono cruciali per proteggere le reti contro vulnerabilità e minacce emergenti. Gli utenti di questi prodotti sono incoraggiati a implementare gli aggiornamenti tempestivamente per garantire la sicurezza delle loro reti.
Importanza della Gestione delle Vulnerabilità
CISA incoraggia tutte le organizzazioni a ridurre la loro esposizione agli attacchi cyber, dando priorità alla tempestiva risoluzione delle vulnerabilità elencate nel catalogo come parte della loro pratica di gestione delle vulnerabilità. Questi sforzi sono essenziali per proteggere le reti contro minacce attive e garantire la sicurezza informatica.
Aggiornamenti di Sicurezza e Vulnerabilità Zero-Day di Ivanti
Ivanti ha rilasciato un aggiornamento di sicurezza per Connect Secure e Policy Secure Gateways. Questo aggiornamento è cruciale per affrontare le vulnerabilità zero-day recentemente scoperte e sfruttate attivamente. Ivanti sta lavorando per fornire patch in un programma a scaglioni, con la prima versione prevista per la settimana del 22 gennaio e l’ultima per la settimana del 19 febbraio.
Vulnerabilità Zero-Day Sfruttate in Attacchi
Ivanti ha rivelato due vulnerabilità zero-day in Connect Secure (ICS) e Policy Secure che permettono agli attaccanti remoti di eseguire comandi arbitrari sui gateway mirati. La prima vulnerabilità (CVE-2023-46805) è un bypass dell’autenticazione nel componente web dei gateway, mentre la seconda (CVE-2024-21887) è una vulnerabilità di iniezione di comandi. Quando combinate, queste vulnerabilità permettono l’esecuzione di comandi arbitrari su tutte le versioni supportate dei prodotti interessati.
Mitigazione delle Vulnerabilità
Fino a quando non saranno disponibili le patch, le vulnerabilità zero-day possono essere mitigate importando il file mitigation.release.20240107.1.xml disponibile per i clienti tramite il portale di download di Ivanti. La società ha anche raccomandato ai clienti di eseguire il controllo esterno dell’integrità interna (ICT) per ulteriori precauzioni.
Impatto e Risposta agli Attacchi
Ivanti ha riferito che meno di 10 clienti sono stati colpiti dalle vulnerabilità. La società di intelligence sulle minacce Volexity, che ha individuato le vulnerabilità zero-day sfruttate attivamente nel dicembre 2023, ritiene che l’attaccante sia un attore di minaccia supportato dallo stato cinese. Secondo Shodan, oltre 15.000 gateway Connect Secure (ICS) e Policy Secure sono attualmente esposti online.
.