Les acteurs de la menace exploitent plusieurs vulnérabilités dans les passerelles Ivanti Connect Secure et Policy Secure

Cybercriminels exploitent activement des vulnérabilités dans les passerelles Ivanti Connect Secure et Policy Secure, ce qui leur permet d'exécuter des commandes arbitraires avec des privilèges élevés. Ces vulnérabilités affectent toutes les versions prises en charge et sont utilisées dans une chaîne d'exploits pour contourner l'authentification et élaborer des requêtes malveillantes. Malgré l'outil de vérification d'intégrité d'Ivanti (ICT), la CISA a conclu qu'il est insuffisant pour détecter la compromission, car les cybercriminels ont réussi à le tromper et à maintenir une persistance de niveau racine même après les réinitialisations d'usine. Les défenseurs du réseau devraient supposer que les informations d'identification des utilisateurs et des comptes de service sont compromises, chasser l'activité malveillante, exécuter la dernière version de l'ICT et appliquer les correctifs dès qu'ils sont disponibles. En cas de compromission, les organisations devraient mettre en quarantaine les hôtes affectés, les réinitialiser, réinitialiser les mots de passe, identifier et supprimer les comptes administrateurs malveillants, et collecter et analyser les artefacts. La CISA recommande aux organisations de considérer le risque significatif d'accès et de persistance de l'adversaire sur les passerelles Ivanti et d'évaluer si elles doivent continuer à les exploiter. La directive d'urgence fédérale (DE) 24-01 exige que les agences du gouvernement fédéral des États-Unis (FCEB) prennent des mesures spécifiques sur les produits affectés. Le Centre canadien pour la cybersécurité a émis une alerte avec des mises à jour périodiques pour les professionnels de la technologie de l'information affectés. Des indicateurs de compromission (IC) et des règles YARA sont fournis pour aider à détecter l'activité cybercriminelle. Les défenseurs du réseau devraient cartographier l'activité cybercriminelle malveillante au framework MITRE ATT&CK pour améliorer la détection et la réponse.