Ivanti VPN, attacco su larga scala mette a rischio migliaia di aziende: update urgente
2024-1-17 17:32:0 Author: www.cybersecurity360.it(查看原文) 阅读量:14 收藏

Nuove minacce

Attacco su larga scala a dispositivi Ivanti VPN: attaccanti cinesi stanno sfruttando due exploit zero-day per comprometterli, mettendo a rischio decine di migliaia di organizzazioni in tutto il mondo. È urgente passare subito all’azione e aggiornare i propri dispositivi

Pubblicato il 17 Gen 2024

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Subito dopo il rilascio di importanti informazioni da parte di Volexity e Ivanti, lo scorso 10 gennaio, emerge una preoccupante minaccia informatica che sembra aver coinvolto oltre 1.700 dispositivi Ivanti Connect Secure VPN in tutto il mondo.

Aggressori sconosciuti stanno sfruttando due vulnerabilità zero-day senza patch, CVE-2023-46805 (bypass di autenticazione) e CVE-2024-21887 (vulnerabilità di command injection), per compromettere organizzazioni e installare webshell sui loro server web interni ed esterni.

Due zero-day sulle VPN Ivanti generano compromissioni a livello globale

I ricercatori di Volexity, che monitorano da vicino questa situazione, avvertono che non solo l’autore principale, identificato con l’alias UTA0178 e presumibilmente sostenuto dalla Cina, è coinvolto, ma anche altri attori malevoli sembrano aver ottenuto accesso agli exploit e stanno cercando attivamente di colpire ulteriori dispositivi. Gli attacchi sono iniziati da dicembre scorso e continuano a rappresentare una seria minaccia per la sicurezza informatica a livello globale.

Tutti gli step per alzare il livello di sicurezza in azienda: una guida completa!

Mandiant, operante nel campo della sicurezza informatica, ha condiviso gli indicatori di compromissione del malware personalizzato utilizzato da UTA0178. La comunità di sicurezza ha identificato gli attaccanti come sponsorizzati dalla Cina, concentrati principalmente nello spionaggio informatico. Dopo la divulgazione di queste informazioni, Volexity ha notato un aumento delle scansioni da parte di individui apparentemente a conoscenza delle vulnerabilità, oltre a segnalazioni di organizzazioni che hanno rilevato compromissioni a partire dall’11 gennaio 2024.

Gli attacchi hanno colpito indiscriminatamente, con oltre 1.700 dispositivi VPN Ivanti Connect Secure compromessi dalla webshell GIFTEDVISITOR. Le vittime si estendono su scala globale e comprendono organizzazioni di varie dimensioni, dalle piccole imprese a importanti aziende Fortune 500 in diversi settori verticali.

Sulla base di dati condivisi da portali di scansione di dispositivi in rete, i canali VPN Ivanti attivi ed esposti ad Internet, negli ultimi giorni, a livello globale e potenzialmente a rischio, sono oltre 18.000. Di questi, poco meno di 5.500 sono dislocati in Europa.

Soluzioni di mitigazioni del rischio

Nonostante le misure temporanee di mitigazione proposte, Volexity avverte che l’applicazione di patch e mitigazioni non risolverà i compromessi passati. Le organizzazioni colpite sono fortemente incoraggiate a esaminare attentamente i propri registri, la telemetria di rete e i risultati degli strumenti di sicurezza per individuare segni di compromissione.

Volexity ha avviato un nuovo metodo di scansione per identificare la webshell GIFTEDVISITOR su dispositivi Ivanti Connect Secure VPN, identificando oltre 1.700 dispositivi compromessi in tutto il mondo. Questo sottolinea l’urgente necessità di azioni correttive da parte delle organizzazioni coinvolte.

In risposta a questa emergenza, Ivanti ha pubblicato linee guida aggiornate per il recupero, mentre Rapid7 ha rilasciato un’analisi tecnica dettagliata sulle due vulnerabilità.

Le organizzazioni interessate sono invitate a implementare immediatamente le misure proposte e a svolgere le proprie indagini per confermare o negare una violazione, poiché la collaborazione con i CERT nazionali è in corso solo con i contatti noti.

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/ivanti-vpn-attacco-su-larga-scala-mette-a-rischio-migliaia-di-aziende-update-urgente/
如有侵权请联系:admin#unsafe.sh