Многочисленные уязвимости в Ivanti Connect Secure и Policy Secure Gateways эксплуатируются разными угрозами

Киберпреступники активно эксплуатируют уязвимости в Ivanti Connect Secure и Policy Secure шлюзах, что позволяет им выполнять произвольные команды с повышенными привилегиями. Эти уязвимости затрагивают все поддерживаемые версии и используются в цепочке эксплуатации для обхода аутентификации и создания вредоносных запросов. Несмотря на инструмент Ivanti Integrity Checker Tool (ICT), CISA определила, что он недостаточен для обнаружения компрометации, поскольку киберпреступники смогли обмануть его и сохранять корневой уровень привилегий даже после сброса настроек до заводских. Сетевые защитники должны предполагать компрометацию пользовательских и сервисных учетных записей, искать вредоносную активность, запускать последнюю версию ICT и применять патчи по мере их доступности. В случае компрометации организации должны изолировать пораженные хосты, переустановить их, сбросить пароли, идентифицировать и удалить вредоносные административные учетные записи и собрать и проанализировать артефакты. CISA рекомендует организациям рассматривать значительный риск доступа и сохранения противника на Ivanti шлюзах и оценить, стоит ли продолжать их работу. Федеральное экстренное директивное указание (ED) 24-01 требует от федеральных гражданских исполнительных органов (FCEB) предпринять конкретные действия по поводу затронутых продуктов. Канадский центр кибербезопасности опубликовал предупреждение с периодическими обновлениями для затронутых IT-специалистов. Показатели компрометации (IOCs) и правила YARA предоставлены для помощи в обнаружении вредоносной активности. Сетевые защитники должны сопоставлять вредоносную кибер-активность с фреймворком MITRE ATT&CK для улучшения обнаружения и реагирования.