nnn
24-01-24, 11:14
Ερευνητές ασφαλείας λένε ότι χάκερς που έχουν σχέση με την κινεζική κυβέρνηση εκμεταλλεύονται μαζικά δύο κρίσιμες ευπάθειες στο Ivanti VPN, ένα δημοφιλές λογισμικό VPN που χρησιμοποιείται από επιχειρήσεις και οργανισμούς σε όλο τον κόσμο.
Μέχρι την Τρίτη το πρωί, η εταιρεία ασφαλείας Censys εντόπισε 492 μολυσμένα Ivanti VPNs από 26.000 συσκευές που εκτίθενται στο διαδίκτυο. Πάνω από το ένα τέταρτο των παραβιασμένων VPN - 121 - βρίσκονταν στις Ηνωμένες Πολιτείες.
Όταν εκμεταλλεύονται από κοινού, οι ευπάθειες, με τα αναγνωριστικά CVE-2023-46805 και CVE-2024-21887, επιτρέπουν στους επιτιθέμενους να εκτελέσουν κώδικα απομακρυσμένα σε διακομιστές. Όλες οι υποστηριζόμενες εκδόσεις του Ivanti Connect Secure - συχνά συντομογραφία ICS και παλαιότερα Pulse Secure - επηρεάζονται.
Οι συνεχιζόμενες επιθέσεις χρησιμοποιούν τα εκμεταλλεύσιμα για να εγκαταστήσουν μια σειρά από κακόβουλο λογισμικό που λειτουργεί ως πίσω πόρτα. Οι χάκερς στη συνέχεια χρησιμοποιούν το κακόβουλο λογισμικό για να συλλέξουν όσο το δυνατόν περισσότερες διαπιστευτικές πληροφορίες που ανήκουν σε διάφορους υπαλλήλους και συσκευές στο μολυσμένο δίκτυο και να περιηγηθούν στο δίκτυο.
Οι ευπάθειες ανακαλύφθηκαν από την Ivanti στις 10 Ιανουαρίου και η εταιρεία εξέδωσε μια επιδιόρθωση την ίδια μέρα. Ωστόσο υπήρχαν ήδη ενεργές επιθέσεις.
Οι επιχειρήσεις και οι οργανισμοί που χρησιμοποιούν Ivanti VPN πρέπει να εγκαταστήσουν την επιδιόρθωση το συντομότερο δυνατό. Εάν δεν είναι δυνατό να εγκατασταθεί η επιδιόρθωση, οι οργανισμοί θα πρέπει να εξετάσουν την προσωρινή αναστολή των υπηρεσιών VPN.
Οι ευπάθειες είναι σοβαρές και οι οργανισμοί που δεν έχουν ακόμη λάβει μέτρα θα πρέπει να το πράξουν, ακόμη και αν αυτό σημαίνει τη διακοπή των υπηρεσιών VPN.
Πηγή : Ars Technica (https://arstechnica.com/security/2024/01/mass-exploitation-of-ivanti-vpns-is-infecting-networks-around-the-globe/)
Μέχρι την Τρίτη το πρωί, η εταιρεία ασφαλείας Censys εντόπισε 492 μολυσμένα Ivanti VPNs από 26.000 συσκευές που εκτίθενται στο διαδίκτυο. Πάνω από το ένα τέταρτο των παραβιασμένων VPN - 121 - βρίσκονταν στις Ηνωμένες Πολιτείες.
Όταν εκμεταλλεύονται από κοινού, οι ευπάθειες, με τα αναγνωριστικά CVE-2023-46805 και CVE-2024-21887, επιτρέπουν στους επιτιθέμενους να εκτελέσουν κώδικα απομακρυσμένα σε διακομιστές. Όλες οι υποστηριζόμενες εκδόσεις του Ivanti Connect Secure - συχνά συντομογραφία ICS και παλαιότερα Pulse Secure - επηρεάζονται.
Οι συνεχιζόμενες επιθέσεις χρησιμοποιούν τα εκμεταλλεύσιμα για να εγκαταστήσουν μια σειρά από κακόβουλο λογισμικό που λειτουργεί ως πίσω πόρτα. Οι χάκερς στη συνέχεια χρησιμοποιούν το κακόβουλο λογισμικό για να συλλέξουν όσο το δυνατόν περισσότερες διαπιστευτικές πληροφορίες που ανήκουν σε διάφορους υπαλλήλους και συσκευές στο μολυσμένο δίκτυο και να περιηγηθούν στο δίκτυο.
Οι ευπάθειες ανακαλύφθηκαν από την Ivanti στις 10 Ιανουαρίου και η εταιρεία εξέδωσε μια επιδιόρθωση την ίδια μέρα. Ωστόσο υπήρχαν ήδη ενεργές επιθέσεις.
Οι επιχειρήσεις και οι οργανισμοί που χρησιμοποιούν Ivanti VPN πρέπει να εγκαταστήσουν την επιδιόρθωση το συντομότερο δυνατό. Εάν δεν είναι δυνατό να εγκατασταθεί η επιδιόρθωση, οι οργανισμοί θα πρέπει να εξετάσουν την προσωρινή αναστολή των υπηρεσιών VPN.
Οι ευπάθειες είναι σοβαρές και οι οργανισμοί που δεν έχουν ακόμη λάβει μέτρα θα πρέπει να το πράξουν, ακόμη και αν αυτό σημαίνει τη διακοπή των υπηρεσιών VPN.
Πηγή : Ars Technica (https://arstechnica.com/security/2024/01/mass-exploitation-of-ivanti-vpns-is-infecting-networks-around-the-globe/)