脅威者がIvanti Connect SecureとPolicy Secure Gatewayの複数の脆弱性を悪用

サイバー犯罪者がIvanti Connect SecureとPolicy Secureゲートウェイの脆弱性を積極的に悪用し、特権が高められた状態で任意のコマンドを実行することができます。これらの脆弱性は、サポートされているすべてのバージョンに影響し、認証をバイパスし、悪意のあるリクエストを構築するための連鎖的な攻撃の鎖に使用されています。 IvantiのIntegrity Checker Tool (ICT)が不足しているため、CISAはこれが損害を検出するには不十分であると判断しました。サイバー犯罪者はこれを欺くことができ、ファクトリー・リセット後もルート・レベルでの永続性を維持することができます。 ネットワーク・ディフェンダーは、ユーザーとサービス・アカウントの資格情報が損害を受けたと仮定し、悪意のある活動を捜し、最新のICTを実行し、パッチが利用可能になると適用する必要があります。 損害が確認された場合、組織は影響を受けたホストを隔離し、再イメージ化し、資格情報をリセットし、悪意のある管理者アカウントを特定し削除し、証拠を収集し分析する必要があります。 CISAは、Ivantiゲートウェイでの敵対者的アクセスと永続性の顕著なリスクを組織が評価し、運営を継続するかどうかを検討することを推奨します。 連邦市民執行部門（FCEB）の機関に対し、影響を受けた製品に関する特定の措置を実施するように要求する連邦緊急指令（ED）24-01が発令されています。 カナダサイバーセキュリティーセンターは、影響を受けたITプロフェッショナル向けのアラートを発令し、定期的に更新しています。 悪意のあるサイバー活動を検出するために、損害の兆候（IOCs）とYARAルールが提供されています。 ネットワーク・ディフェンダーは、MITRE ATT&CKフレームワークに悪意のあるサイバー活動をマップし、検出と対応を改善する必要があります。