Vulnerabilidade da Ivanti VPN: O que o senhor precisa saber
Hackers patrocinados pelo Estado chinês atacaram vulnerabilidades anunciadas recentemente nos produtos Ivanti VPN, Ivanti Connect Secure (anteriormente Pulse Secure) e Ivanti Policy Secure gateways. Essas vulnerabilidades são relatadas como CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 e CVE-2024-21893.
Quando usadas em conjunto, essas vulnerabilidades podem permitir o desvio não autorizado da autenticação e a execução remota de comandos. A Ivanti lançou correções para essas vulnerabilidades nas versões mais usadas de seus produtos, mas a empresa ainda não lançou correções para todas as versões vulneráveis de seus produtos. Isso leva a um risco maior de escalonamento de privilégios e falsificação de solicitações do lado do servidor para aqueles que ainda não podem aplicar uma correção.
Medidas e recomendações de segurança da Ivanti
A Unit 42® aconselha a aplicação imediata de patches para essas vulnerabilidades à medida que são disponibilizados e uma postura proativa de reinicialização do sistema antes da aplicação de patches para garantir a integridade do ambiente. Em resposta às vulnerabilidades recém-descobertas, seguimos a recomendação da CISA de desconectar da rede as soluções comprometidas e enfatizamos a importância de aplicar diligentemente as correções disponíveis ou futuras.
No segmento mais recente do podcast Threat Vector, os especialistas em segurança cibernética da Unit 42, Sam Rubin, vice-presidente e chefe global de operações, e Ingrid Parker, gerente sênior da unidade de inteligência de ameaças, analisam a fundo as vulnerabilidades críticas encontradas nos produtos Connect Secure e Policy Security da Ivanti. Eles exploram o possível impacto das vulnerabilidades, a urgência da mitigação e as estratégias de defesa.
Unit 42 Casos de resposta a incidentes
As campanhas de exploração das vulnerabilidades CVE-2023-46805 e CVE-2024-21887 Ivanti ocorreram em três ondas distintas.
A primeira onda durou de pelo menos a segunda semana de dezembro de 2023 a 10 de janeiro de 2024, quando a Volexity publicou sua primeira postagem no blog sobre o assunto. Os ataques nessa campanha foram direcionados e apresentaram vários shells da Web personalizados e movimentação lateral. A Unit 42 respondeu a atividades de ameaças que provavelmente correspondiam a essa onda de campanhas.
Semelhante à atividade discutida na postagem do blog da Volexity, observamos o ator da ameaça realizando as seguintes atividades:
- Arquivamento de arquivos, incluindo o NTDS.dit, usando o 7-Zip antes da exfiltração
- Criar um despejo de memória do processo LSASS usando o Gerenciador de Tarefas do Windows (Taskmgr.exe)
- Movimentação lateral via protocolo de área de trabalho remota (RDP)
- Exclusão de registros
A segunda onda começou após a primeira postagem do blog da Volexity em 10 de janeiro de 2024. Essa onda foi marcada por uma mudança de ataques direcionados para a exploração em massa por atores de ameaças adicionais.
A Unit 42 respondeu a casos de atividades de ameaças que provavelmente correspondiam a essa onda de campanhas. A atividade de ameaça foi consistente em todos esses casos.
O ator da ameaça despejou dados de configuração contendo esquema, configurações, nomes e credenciais dos vários usuários e contas dentro da rede, mas não realizou nenhum movimento lateral como os incidentes que ocorreram na primeira onda.
A Unit 42 acredita que os atores de ameaça por trás dessa atividade podem ter mudado o foco para uma exploração mais ampla, a fim de maximizar o impacto antes que as organizações pudessem começar a aplicar patches e orientações de mitigação.
A terceira onda começou já em 16 de janeiro de 2024, quando exploits de prova de conceito (PoC) se tornaram publicamente disponíveis. A liberação dessas explorações leva à exploração em massa por uma série de atores com várias motivações e graus de sofisticação, incluindo entidades criminosas que implantam amplamente criptomineradores e vários softwares de monitoramento e gerenciamento remoto (RMM).
A Unit 42 respondeu a uma atividade de ameaça que provavelmente correspondia a essa onda, de um ator de ameaça usando um exploit de PoC disponível publicamente. Atualmente, estamos apoiando nossos clientes na investigação desses incidentes.
Estratégias abrangentes de defesa contra Ivanati
A descoberta dessas vulnerabilidades ressalta a necessidade de medidas de segurança vigilantes e recursos de resposta rápida. Isso destacou vulnerabilidades críticas de segurança em tecnologias de rede privada virtual (VPN) amplamente utilizadas e exploradas por sofisticados atores de ameaças. Essas vulnerabilidades permitem acesso e controle não autorizados, o que representa riscos significativos para as redes organizacionais.
As estratégias a seguir são essenciais para manter uma postura de segurança sólida contra as ameaças cibernéticas em evolução, garantindo a proteção de informações confidenciais e da infraestrutura crítica:
- Faça um inventário de seus ativos: Catalogar todos os dispositivos, sistemas e softwares da rede.
- Escolha as ferramentas certas: Utilize ferramentas de varredura de vulnerabilidades que melhor se adaptem à complexidade e à escala de seu ambiente de TI.
- Verificar se há vulnerabilidades: Execute varreduras regularmente para identificar os pontos fracos de segurança em seus sistemas.
- Analisar os resultados: Analise cuidadosamente os resultados da varredura para priorizar as vulnerabilidades com base em sua gravidade e impacto potencial.
- Remediar e corrigir: Aplique as correções ou soluções alternativas necessárias para atenuar as vulnerabilidades identificadas.
- Repetir e revisar: Monitore e reavalie sua postura de segurança para se adaptar a novas ameaças.
Não deixe de conferir nosso avançado Ivanti Emerging Threat Report:
Adoção de uma estratégia abrangente de segurança cibernética
É essencial tomar medidas significativas para proteger sua rede contra possíveis ameaças cibernéticas. Alguns métodos para proteger sua rede incluem ocultar aplicativos e VPNs da visibilidade pública da Internet para protegê-los de invasores. O senhor também deve inspecionar minuciosamente todo o tráfego de entrada e saída para neutralizar ameaças como malware e explorações de dia zero.
Aplicar o princípio do menor privilégio em sua rede é outra etapa vital. Isso garante que os usuários possam acessar apenas os recursos necessários para suas funções. O senhor também deve fortalecer os controles de acesso usando autenticação multifator robusta para verificar as identidades dos usuários de forma eficaz.
Recomenda-se também conectar os usuários diretamente aos aplicativos em vez de à rede mais ampla. Isso minimiza os possíveis danos causados por incidentes de segurança. A utilização do monitoramento contínuo também é essencial para identificar e mitigar as ameaças representadas por atores internos ou externos comprometidos.
Para proteger dados confidenciais, o monitoramento diligente e a criptografia devem ser aplicados tanto em trânsito quanto em repouso. O emprego de tecnologias de engano e a busca proativa de ameaças podem ajudar a identificar e neutralizar as ameaças antes que elas possam causar danos.
Promover uma cultura de conscientização de segurança dentro da sua organização também pode proteger contra vetores comuns, como phishing. A avaliação regular de suas medidas de segurança por meio de avaliações e simulações pode ajudar a identificar e abordar as vulnerabilidades.
Abordagem Zero Trust da Palo Alto Networks
Em resposta a essas ameaças, a Palo Alto Networks enfatiza a importância de uma arquitetura Zero Trust, fornecendo acesso seguro e segmentado aos aplicativos sem expô-los a ameaças diretas da Internet. Nossas soluções, incluindo políticas avançadas de prevenção contra ameaças e segmentação, são projetadas para minimizar a superfície de ataque, impedir o acesso não autorizado e detectar e responder a ameaças em tempo real.
10 perguntas e respostas sobre a vulnerabilidade do Ivanti para profissionais de segurança empresarial
