Компания Ivanti обновила свой проверяющий инструмент после предупреждения американского киберинфраструктурного агентства (CISA) о том, что некоторые злоумышленники могли продолжать поддерживать постоянные компрометации продуктов Connect Secure, Policy Secure и ZTA компании даже после сброса до заводских настроек.
Проблемы Ivanti начались в начале января, когда исследователи из Volexity продемонстрировали, как две ошибки в ее устройствах Connect Secure VPN могут быть использованы для удаленного выполнения кода. Volexity заявила, что наблюдала эксплуатацию в дикой природе, что она приписала китайскому национальному актеру UTA0178, который также скомпрометировал интегрити-проверку Ivanti для того, чтобы попытаться скрыться.
Ivanti выпустила исправления в начале февраля, также устраняя другие уязвимости, которые были обнаружены при исследовании исправлений для первых двух. Компания рекомендовала, чтобы после введения мер по обеспечению безопасности клиенты сделали сброс до заводских настроек, чтобы вытеснить любых злоумышленников, достигших постоянства.
29 февраля CISA обновила свое предупреждение о продуктах, сказав, что злоумышленники нашли способ обойти проверку интегрити Ivanti, и что “киберугроза может получить постоянство на уровне root, несмотря на сброс до заводских настроек”.
Усилия ведут к тому, что Ivanti выпустила обновленный проверяющий инструмент 27 февраля, отметив, что “потенциальные технологии постоянства… не были успешно задействованы на практике”. Усовершенствованный проверяющий инструмент, по словам Ivanti, “обеспечивает дополнительную видимость на устройстве клиента и все файлы, которые присутствуют в системе.”
Нового CVE нет, что означает, что соответствующая информация об уязвимости для CVE-2023-46805 (обход аутентификации), CVE-2024-21887 (внедрение команд), CVE-2024-21893 (подделка запроса на сервере), CVE-2024-22024 (уязвимость XML) и CVE-2024-21888 (повышение привилегий) остается актуальной.
Оригинальная новость на сайте