Хакери стали атакувати жертв через вразливості у VPN Ivanti Connect Secure

Ivanti, провайдер VPN-сервісу для корпоративних клієнтів, повідомив про п’ять вразливостей у своєму продукті Connect Secure, які дозволяють зловмисникам отримати доступ до внутрішніх мереж організацій.

Про це повідомляє TechCrunch.

Одна з цих вразливостей активно експлуатується, а оновлення ще не доступні для всіх користувачів.

Що таке Connect Secure

Читайте також: Сучасна цифрова інфраструктура вимагає постійної уваги до безпеки, яка ґрунтується на трьох фундаментальних принципах: конфіденційності, цілісності та доступності даних. Розуміння історії кіберзагроз допомагає нам ефективніше захищати ці стовпи. Протягом історії хакерства змінювалися і цілі, і методи зловмисників, від нешкідливого експериментування до масованих кібератак.

Connect Secure — це VPN-сервіс, який використовується тисячами державних та приватних організацій по всьому світу для забезпечення безпечного підключення працівників до віртуальної мережі та внутрішніх систем організацій, перебуваючи поза офісами.

За даними компанії, більше 40 тисяч її клієнтів, серед яких університети, медичні та банківські установи, використовують цей продукт.

Підписуйтеся на наші соцмережі

Які вразливості є в Connect Secure

10 січня 2024 року Ivanti випустив сповіщення про дві вразливості у своєму продукті, які отримали номери CVE-2023-46805 та CVE-2024-21887.

Ці вразливості дозволяють невідомим атакуючим виконувати довільний код на серверах Connect Secure без автентифікації. Компанія надала рекомендації щодо захисту від цих вразливостей, але не випустила оновлень для їх усунення.

Згодом Ivanti додала, що виявила ще дві вразливості у своєму продукті, які отримали номери CVE-2024-21888 та CVE-2024-21893. Ці вразливості також дозволяють виконувати довільний код на серверах Connect Secure, але вимагають автентифікації.

Сторонні експерти з кібербезпеки виявили ще одну вразливість у продукті Ivanti, яка отримала номер CVE-2024-21893. Ця вразливість є серверно-клієнтською вставкою запиту (SSRF), яка дозволяє атакуючим отримувати доступ до даних на вразливих пристроях.

Ця вразливість є найнебезпечнішою з усіх, оскільки вона не вимагає автентифікації та може бути використана для обходу захисних заходів, які рекомендувала Ivanti. Крім того, в інтернеті з’явився код експлойту для цієї вразливості, який дозволяє легко атакувати незахищені пристрої.

Кількість IP-адрес, з яких робляться спроби експлуатувати вразливість CVE-2024-21893, зросла з 170 на минулому тижні до понад 630 на цьому тижні.

При цьому кількість підключених до інтернету пристроїв Connect Secure зменшилася з 22 500 на минулому тижні до 20 800 на цьому тижні, але невідомо, скільки з них уразливі для злому.

Які заходи було вжито проти вразливостей

Ivanti не коментував повідомлення про масову експлуатацію вразливості. Компанія повідомила, що випустила оновлення для вразливостей CVE-2023-46805, CVE-2024-21887 та CVE-2024-21888, але не для вразливості CVE-2024-21893. Компанія також заявила, що працює над розгортанням оновлень для всіх своїх клієнтів.

Американське Агентство з кібербезпеки та захисту інфраструктури (CISA) наказало всім федеральним відомствам відключити всі клієнтські системи Ivanti у дводенний термін, посилаючись на «серйозну загрозу», пов’язану з вразливістю CVE-2024-21893.

CISA також сказало, що сильно рекомендує всім організаціям, які використовують продукт Ivanti, застосувати оновлення та захисні заходи.

Інші матеріали

• На людині протестували першу вакцину, створену ШІ: що відомо
• Вчені зʼясували, чи існує безпечна доза алкоголю
• Терапію омолодження клітин вперше випробували на людях: деталі
• Як кардіологічний пристрій врятував футболіста прямо під час матчу
• В YouTube тепер можна обмінюватися повідомленнями: як працює месенджер