آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به سازمان‌های دولتی هشدار می‌دهد که فوراً نقص‌های Ivanti را که اخیراً کشف شده‌اند اصلاح کنند، زیرا از آنها در طبیعت برای به خطر انداختن نقاط پایانی آسیب‌پذیر استفاده می‌شود.

هشدار CISA به آژانس‌های شعبه اجرایی غیرنظامی فدرال (FCEB) در مورد دو نقص هشدار می‌دهد: CVE-2023-46805 (بای پس احراز هویت) و CVE-2024-21887 (تزریق کد).

این آسیب‌پذیری‌ها در Ivanti Connect Secure (ICS) و Ivanti Policy Secure (IPS) یافت شدند و به عوامل تهدید اجازه می‌دهند تا دستورات دلخواه را در نقاط پایانی اجرا کنند.

هزاران قربانی

CISA هشدار داد که از 11 ژانویه سال جاری، "افزایش شدید" در حملات مشاهده شده است. با این حال، به نظر نمی رسد که سازمان های دولتی اهداف انحصاری باشند، زیرا محققان سازمان ها را مشاهده کردند که به طور بی رویه هدف قرار می گیرند. هم شرکت‌های کوچک و هم برخی از بزرگ‌ترین سازمان‌های جهان که در صنایع مختلف از جمله هوافضا، بانک‌داری، دفاعی و دولتی فعالیت می‌کنند، همگی تا کنون طعمه آن‌ها شده‌اند.

این آژانس گفت: «استفاده موفقیت‌آمیز از آسیب‌پذیری‌های موجود در این محصولات آسیب‌دیده به یک عامل تهدید مخرب اجازه می‌دهد تا به صورت جانبی حرکت کند، داده‌ها را استخراج کند، و دسترسی دائمی به سیستم ایجاد کند و در نتیجه سیستم‌های اطلاعاتی هدف را به خطر بیاندازد».

گفته شد که ایوانتی هنوز یک پچ برای نقص ها منتشر نکرده است. در همین حال، اقدامات کاهشی را منتشر کرد که شامل وارد کردن یک فایل XML به محصولات آسیب‌دیده می‌شود، پس پیکربندی‌های مجدد لازم را انجام داد.

علاوه بر این، CISA بيان کرد که کسب‌وکارها باید ابتدا یک ابزار تحلیل یکپارچگی خارجی را اجرا کنند تا ببینند آیا نقاط پایانی آنها به خطر افتاده است یا خیر. اگر نشانه‌هایی از بازی نادرست یافت شد، دستگاه‌ها باید قطع شوند، ریست شوند و سپس فایل XML معرفی شود. همچنین، آژانس‌های FCEB باید گواهی‌ها را لغو و مجدداً صادر کنند، اعتبار مدیریت را بازنشانی کنند، کلیدهای API را ذخیره کنند و رمزهای عبور کاربر محلی را بازنشانی کنند.

روزهای صفر اولین بار در دسامبر سال گذشته مورد سوء استفاده قرار گرفت و توسط یک بازیگر تهدید کننده تحت حمایت دولت چین که با نام UTA0178 دنبال می‌شد، مشاهده شد. از آن زمان، این گروه با موفقیت بیش از 2000 دستگاه را در سراسر جهان نقض کرد و از این مزیت برای نصب درهای پشتی غیرفعال و استقرار پوسته های وب استفاده کرد.

از طریق TheHackerNews

بیشتر از TechRadar Pro