Ivanti-sårbarheter utnyttjas aktivt

CERT-SE har tidigare i flera publiceringar berört ett antal sårbarheter i Ivanti Connect Secure, Ivanti Policy Secure samt ZTA-gateways [1, 2].

CISA, tillsammans med andra myndigheter, har nu publicerat ett sammanställt råd som berör dessa. CISA skriver att CVE-2023-46805, CVE-2024-21887 och CVE-2024-21893 exploateras aktivt. [3]

Rådet berör även ett verktyg som Ivanti har tagit fram, Integrity Checker Tool (ICT). Verktyget ska enligt Ivanti kunna användas för att undersöka om utrustningen komprometterats. Undersökningar som CISA genomfört har dock visat att verktyget inte är tillräckligt för att identifiera kompromettering, samt att en angripare kan behålla rootaccess trots hårdvarureset. I rådet har också publicerats IOC:er. [3]

Rekommendationer

CISA rekommenderar fortsatt att använda verktyget, kombinerat med att söka efter skadlig akivitet i nätverket baserat på angivna IOC:er, samt vidare att installera tillgängliga säkerhetsuppdateringar.

Källor

[1] https://www.cert.se/2024/01/kritiska-sarbarheter-i-ivanti-connect-secure-och-policy-secure.html

[2] https://www.cert.se/2024/02/allvarlig-sarbarhet-i-ivanti.html

[3] https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b