Kritiska sårbarheter i Ivanti Connect Secure och Policy Secure

Ivanti rapporterar om två nolldagssårbarheter i vpn-lösningarna Ivanti Connect Secure (f.d. Pulse Connect Secure) och Ivanti Policy Secure. Sårbarheterna möjliggör för en oautentiserad användare att ta kontroll över drabbade enheter och rapporteras utnyttjas aktivt. [1, 2, 3]

Den ena sårbarheten (CVE-2023-46805, som fått CVSS-klassning 8,2 av 10) gör det möjligt för en angripare att kringgå användarautentisering och kontrollfunktioner i båda produkterna. Den andra (CVE-2024-21887, med CVSS 9,1) är en så kallad kommandoinjektionssårbarhet, som tillåter en autentiserad användare att utföra godtyckliga kommandon på sårbara enheter. Utnyttjas de två sårbarheterna i kombination, ökar allvarlighetsgraden då det innebär att en oautentiserad användare kan fjärrköra godtycklig kod i drabbade system.

Enligt uppgift utnyttjas sårbarheterna aktivt. [4]

Det finns ännu inga uppdateringar som åtgärdar säkerhetsbristerna utan tills vidare rekommenderas mitigerande åtgärder. Ivanti planerar att tillgängliggöra säkerhetsuppdateringar för samtliga produktversioner med start vecka 4 (22 januari). [1]

Uppdatering 2024-01-15

Proof-of-concept-kod finns nu publicerad, så vi påminner om vikten av att följa de mitigerande åtgärderna enligt Ivantis instruktioner. Se mer info och länkhänvisningar under “Rekommendationer” nedan.

Uppdatering 2024-01-17

CERT-SE vill understryka vikten av att undersöka system efter indikationer på intrång, även om de mitigerande åtgärderna som Ivanti tidigare informerat om vidtagits. Detta då ett flertal cybersäkerhetsexperter publicerat ytterligare beskrivningar av sårbarheterna, samt om indikationer att system drabbats av intrång. [5, 8, 9]

Uppdatering 2024-01-19

Ivanti skriver att om sårbarheten utnyttjats, så är det sannolikt att angriparna installerat en bakdörr. Ivanti rekommenderar revokering och att ersätta certifikaten i produkten. Se vidare information i artikel från Ivanti. [10]

Uppdatering 2024-01-22

CERT-SE tar tacksamt emot information från drabbade verksamheter. Det ökar våra möjligheter att följa händelseutvecklingen och agera proaktivt för att kunna varna andra organisationer. Det kan ske exempelvis genom att skicka oss loggfiler eller sammanställningar. Kontakta CERT-SE på cert@cert.se för information om hur du kan dela loggfiler med oss. Vidare uppmanar vi drabbade verksamheter att anmäla intrång till polisen.

Uppdatering 2024-01-24

Ivanti gjorde en uppdatering den 20 januari som berör de kunder som genomför push-konfigurationer till enheter, vilket kan göra de mitigerande åtgärderna verkningslösa [1].

Uppdatering 2024-01-31

Ivanti har släppt säkerhetsuppdaterade versioner av Ivanti Connect Secure (versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 och 22.5R1.1) samt ZTA version 22.6R1.3 som hanterar sårbarheterna CVE-2023-46805 och CVE-2024-21887 [1].

I samband utredning av ovanstående sårbarheter hittades ytterligare sårbarheter som berör Ivanti Connect Secure, Policy Secure och Ivanti Neurons. Dessa benämns CVE-2024-21888 [11] respektive CVE-2024-21893. Den förstnämnda har fått CVSS 8.8 och möjliggör för angriparen att tillskansa sig mer behörigheter (så kallad “privilege escalation”). Dessa sårbarheter hanteras i de tillgängliga rättade versionerna. Om säkerhetsuppdatering inte är möjligt finns det även nya mitigerade åtgärder publicerade som hanterar dessa nya sårbarheter [1,11].

Uppdatering 2024-02-01

Ivanti skriver att CVE-2024-21893 exploateras aktivt, och att det troligen rör sig om riktade angrepp [10].

Efter det att patchar implementerats, så är rekommendationen att söka igenom sin miljö efter eventuella tecken på intrång [12].

Uppdatering 2024-02-02

Genom en patch åtgärdas nu samtliga kända sårbarheter. Se nedan under rubriken rekommendationer.

Påverkade produkter

Alla supporterade versioner av Ivanti Connect Secure (version 9.x och 22.x)
Alla supporterade versioner av Ivanti Policy Secure

Rekommendationer

CERT-SE rekommenderar att skyndsamt uppdatera sårbara produkter. Genom en samlad patch åtgärdas samtliga kända sårbarheter i Ivanti Policy Secyre och Connect Secure. Det vill säga CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 och CVE-2024-21893. Ivanti rekommenderar även en fabriksåterställning innan patchning. [1]

Källor

[1] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

[2] https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways

[3] https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways

[4] https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

[5] https://forums.ivanti.com/s/article/KB44755

[6] https://forums.ivanti.com/s/article/How-to-The-Complete-Upgrade-Guide

[7] https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

[8] https://attackerkb.com/topics/AdUh6by52K/cve-2023-46805/rapid7-analysis

[9] https://isc.sans.edu/podcastdetail/8812

[10] https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887

[11] https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

[12] https://www.cisa.gov/news-events/alerts/2024/01/30/updated-new-software-updates-and-mitigations-defend-against-exploitation-ivanti-connect-secure-and