آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به سازمانهای دولتی هشدار میدهد که فوراً نقصهای Ivanti را که اخیراً کشف شدهاند اصلاح کنند، زیرا از آنها در طبیعت برای به خطر انداختن نقاط پایانی آسیبپذیر استفاده میشود.
هشدار CISA به آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) در مورد دو نقص هشدار میدهد: CVE-2023-46805 (بای پس احراز هویت) و CVE-2024-21887 (تزریق کد).
این آسیبپذیریها در Ivanti Connect Secure (ICS) و Ivanti Policy Secure (IPS) یافت شدند و به عوامل تهدید اجازه میدهند تا دستورات دلخواه را در نقاط پایانی اجرا کنند.
هزاران قربانی
CISA هشدار داد که از 11 ژانویه سال جاری، "افزایش شدید" در حملات مشاهده شده است. با این حال، به نظر نمی رسد که سازمان های دولتی اهداف انحصاری باشند، زیرا محققان سازمان ها را مشاهده کردند که به طور بی رویه هدف قرار می گیرند. هم شرکتهای کوچک و هم برخی از بزرگترین سازمانهای جهان که در صنایع مختلف از جمله هوافضا، بانکداری، دفاعی و دولتی فعالیت میکنند، همگی تا کنون طعمه آنها شدهاند.
این آژانس گفت: «استفاده موفقیتآمیز از آسیبپذیریهای موجود در این محصولات آسیبدیده به یک عامل تهدید مخرب اجازه میدهد تا به صورت جانبی حرکت کند، دادهها را استخراج کند، و دسترسی دائمی به سیستم ایجاد کند و در نتیجه سیستمهای اطلاعاتی هدف را به خطر بیاندازد».
گفته شد که ایوانتی هنوز یک پچ برای نقص ها منتشر نکرده است. در همین حال، اقدامات کاهشی را منتشر کرد که شامل وارد کردن یک فایل XML به محصولات آسیبدیده میشود، پس پیکربندیهای مجدد لازم را انجام داد.
علاوه بر این، CISA بيان کرد که کسبوکارها باید ابتدا یک ابزار تحلیل یکپارچگی خارجی را اجرا کنند تا ببینند آیا نقاط پایانی آنها به خطر افتاده است یا خیر. اگر نشانههایی از بازی نادرست یافت شد، دستگاهها باید قطع شوند، ریست شوند و سپس فایل XML معرفی شود. همچنین، آژانسهای FCEB باید گواهیها را لغو و مجدداً صادر کنند، اعتبار مدیریت را بازنشانی کنند، کلیدهای API را ذخیره کنند و رمزهای عبور کاربر محلی را بازنشانی کنند.
روزهای صفر اولین بار در دسامبر سال گذشته مورد سوء استفاده قرار گرفت و توسط یک بازیگر تهدید کننده تحت حمایت دولت چین که با نام UTA0178 دنبال میشد، مشاهده شد. از آن زمان، این گروه با موفقیت بیش از 2000 دستگاه را در سراسر جهان نقض کرد و از این مزیت برای نصب درهای پشتی غیرفعال و استقرار پوسته های وب استفاده کرد.
از طریق TheHackerNews
ارسال نظر