Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
O que é Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)Duas zero-days encadeadas nos appliances VPN Ivanti Connect Secure, exploradas por agentes suspeitos de espionagem chinesa no final de 2023 e inicio de 2024.
Em janeiro de 2024, a Ivanti e a Mandiant divulgaram duas zero-days no Ivanti Connect Secure e Policy Secure: CVE-2023-46805, um bypass de autenticacao no componente web, e CVE-2024-21887, uma injecao de comandos em componentes administrativos. Encadeadas, permitem execucao remota de codigo sem autenticacao no appliance. A Mandiant atribuiu a exploracao inicial ao UNC5221, um cluster suspeito de espionagem chinesa, que implantou webshells e ladroes de credenciais. A CISA e outras agencias emitiram directivas de emergencia para desligar os aparelhos afetados. A mitigacao envolveu patches faseados, a ferramenta de verificacao de integridade, reposicao de fabrica de equipamentos comprometidos e rotacao de todas as credenciais e certificados associados.
● Exemplos
- 01
UNC5221 implanta a webshell BUSHWALK numa Ivanti VPN vulneravel e move-se lateralmente para a rede corporativa.
- 02
Uma agencia federal dos EUA desliga os seus appliances Ivanti e reconstrucoes a partir de media limpa apos a directiva da CISA.
● Perguntas frequentes
O que é Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Duas zero-days encadeadas nos appliances VPN Ivanti Connect Secure, exploradas por agentes suspeitos de espionagem chinesa no final de 2023 e inicio de 2024. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Duas zero-days encadeadas nos appliances VPN Ivanti Connect Secure, exploradas por agentes suspeitos de espionagem chinesa no final de 2023 e inicio de 2024.
Como funciona Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Em janeiro de 2024, a Ivanti e a Mandiant divulgaram duas zero-days no Ivanti Connect Secure e Policy Secure: CVE-2023-46805, um bypass de autenticacao no componente web, e CVE-2024-21887, uma injecao de comandos em componentes administrativos. Encadeadas, permitem execucao remota de codigo sem autenticacao no appliance. A Mandiant atribuiu a exploracao inicial ao UNC5221, um cluster suspeito de espionagem chinesa, que implantou webshells e ladroes de credenciais. A CISA e outras agencias emitiram directivas de emergencia para desligar os aparelhos afetados. A mitigacao envolveu patches faseados, a ferramenta de verificacao de integridade, reposicao de fabrica de equipamentos comprometidos e rotacao de todas as credenciais e certificados associados.
Como se defender contra Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
As defesas contra Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Zero-days Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Nomes alternativos comuns: Ivanti Connect Secure RCE, Cadeia CVE-2024-21887.
● Termos relacionados
- attacks№ 202
Injeção de Comandos
Ataque em que a entrada do utilizador é passada sem sanitização a um shell do sistema, levando a aplicação a executar comandos fornecidos pelo atacante.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.