RSS CISA Советы по кибербезопасности
Подписаться
Акторы угрозы объединили уязвимости в облачных сервисах приложений Ivanti
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (FBI) опубликовали совместное консультативное сообщение по кибербезопасности о эксплуатации уязвимостей в облачных сервисах Ivanti Cloud Service Appliances (CSA). Уязвимости, включая CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 и CVE-2024-9380, были использованы в сентябре 2024 года, что позволило злоумышленникам получить первоначальный доступ, выполнить удаленный код, получить учетные данные и внедрить веб-оболочки в сети жертв. Злоумышленники объединили уязвимости, чтобы получить доступ, используя два основных пути эксплуатации: один, использующий CVE-2024-8963 с CVE-2024-8190 и CVE-2024-9380, и другой, использующий CVE-2024-8963 с CVE-2024-9379. Уязвимости затрагивают версию Ivanti CSA 4.6x до 519, и две из уязвимостей также затрагивают версии CSA 5.0.1 и ниже. Ivanti CSA 4.6 находится в состоянии окончания срока службы и больше не получает исправлений или библиотек третьих сторон, и CISA и FBI настоятельно рекомендуют администраторам сетей обновиться до последней поддерживаемой версии. Защитники сетей поощряются к поиску вредоносной активности в своих сетях, используя методы обнаружения и индикаторы компрометации (IOCs), изложенные в консультативном сообщении. Учетные данные и конфиденциальные данные, хранящиеся в пострадавших устройствах Ivanti, следует считать скомпрометированными, и организации должны собирать и анализировать журналы и артефакты на предмет вредоносной активности. Консультативное сообщение предоставляет технические подробности об уязвимостях, включая тактику и технику MITRE ATT&CK, использованные злоумышленниками. Активность злоумышленников была обнаружена тремя пострадавшими организациями, которые смогли устранить инциденты, заменив виртуальные машины на чистые и обновленные версии.