Кибератакистите използват нов вектор на заплаха, включващ няколко уязвимости на Ivanti, за да подкопаят устройството за услуги в облака (CSA) на компанията.

Според организацията Cybersecurity and Infrastructure Security (CISA) и ФБР те включват CVE-2024-8963 – уязвимост за заобикаляне на администратора; CVE-2024-9379 – уязвимост за инжектиране на SQL; и CVE-2024-8190 и CVE-2024-9380 – уязвимости за отдалечено изпълнение на код (RCE).

Използвайки данни за реакции на инциденти от трети страни, CISA установи, че  заплахите използват бъговете, като ги свързват заедно, за да получат първоначален достъп, което им позволява да извършват дистанционно изпълнение на код (RCE), да получават данни за достъп и да инсталират уеб обвивки в мрежите на жертвите.

„И четирите уязвимости засягат версиите на Ivanti CSA 4.6x преди 519, а две от уязвимостите (CVE-2024-9379 и CVE-2024-9380) засягат версиите на CSA 5.0.1 и по-ниски; според Ivanti тези CVE не са били експлоатирани във версия 5.0“, заяви CISA в консултацията.

За да се намалят тези заплахи, двете организации насърчават мрежовите администратори да преминат към последната поддържана версия на Ivanti CSA и да използват методите за откриване и индикаторите за компрометиране (IoCs), предоставени в консултацията на CISA, за да търсят злонамерена дейност в своите мрежи.

Ако организациите открият компрометиране, се препоръчва да поставят под карантина или да изключат от мрежата потенциално засегнатите хостове и да ги реимъджнат. Администраторите трябва също така да предоставят нови идентификационни данни за акаунти, да съберат и прегледат артефакти и да докладват за компрометирането на CISA. В допълнение към това се препоръчва да се упражнява, тества и валидира програма за сигурност срещу заплахи, изброени в рамката MITRE ATT&CK for Enterprise.