Kritiska nolldagssårbarheter i VPN-lösningar från Ivanti

Torsdag 11/1 rapporterade Ivanti om två kritiska sårbarheter i lösningarna Ivanti Connect Secure och Ivanti Policy Secure som aktivt utnyttjas.

CVE-2023-46805, med CVSS-klassning 8,2 av 10, låter an angripare kringgå autentisering i båda de berörda produkterna. CVE-2024-21887 har en CVSS-klassning på 9,1 och är en injektionssårbarhet. En autentiserad användare kan exekvera skadliga kommandon på utsatta enheter. Genom att kombinera de två sårbarheterna och utnyttja dem tillsammans, kan en hotaktör fjärrköra skadlig kod i de drabbade systemen. 

Ivanti planerar har ännu inte gått ut med några uppdateringar som åtgärdar bristerna utan planerar att göra detta i början av vecka 4. Det finns däremot en workaround i form av en XML-fil som vi rekommenderar att applicera så fort som möjligt.

IT-Total rekommenderar att vidta mitigerande åtgärder tills vidare. För system som hanteras av IT-total utförs en emergency change. För att undersöka sina system efter indikationer på intrång rekommenderas användare att följa tillgängliga råd från Ivanti.

{{cta(’df0c69f5-ae1e-4839-a98a-b5b30c1d7dd9’)}}

Källor och information om mitigerande åtgärder:
https://www.cert.se/2024/01/kritiska-sarbarheter-i-ivanti-connect-secure-och-policy-secure.html 
https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways 
https://forums.ivanti.com/s/article/KB44755?language=en_US 

Mitigerande åtgärd och patch-schema:
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways