0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
Что такое 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)Две сцепленные 0-day-уязвимости в VPN-устройствах Ivanti Connect Secure, эксплуатируемые предположительно китайскими шпионскими группами в конце 2023 — начале 2024 года.
В январе 2024 года Ivanti и Mandiant сообщили о двух 0-day-уязвимостях в Ivanti Connect Secure и Policy Secure: CVE-2023-46805 — обход аутентификации в веб-компоненте, и CVE-2024-21887 — инъекция команд в административных модулях. В связке они дают неаутентифицированное удалённое исполнение кода на устройстве. Mandiant приписала первичную эксплуатацию кластеру UNC5221, предположительно китайскому шпионажу, который ставил веб-шеллы и крал учётные данные. CISA и другие агентства выпустили чрезвычайные директивы об отключении затронутых устройств. Защита включала поэтапные патчи, запуск Integrity Checker Tool, сброс к заводским настройкам скомпрометированных устройств и ротацию всех соответствующих учётных данных и сертификатов.
● Примеры
- 01
UNC5221 устанавливает веб-шелл BUSHWALK на уязвимом Ivanti VPN и проникает во внутреннюю сеть компании.
- 02
Федеральное агентство США отключает свои устройства Ivanti и пересобирает их с чистых носителей по директиве CISA.
● Частые вопросы
Что такое 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Две сцепленные 0-day-уязвимости в VPN-устройствах Ivanti Connect Secure, эксплуатируемые предположительно китайскими шпионскими группами в конце 2023 — начале 2024 года. Относится к категории Уязвимости в кибербезопасности.
Что означает 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Две сцепленные 0-day-уязвимости в VPN-устройствах Ivanti Connect Secure, эксплуатируемые предположительно китайскими шпионскими группами в конце 2023 — начале 2024 года.
Как работает 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
В январе 2024 года Ivanti и Mandiant сообщили о двух 0-day-уязвимостях в Ivanti Connect Secure и Policy Secure: CVE-2023-46805 — обход аутентификации в веб-компоненте, и CVE-2024-21887 — инъекция команд в административных модулях. В связке они дают неаутентифицированное удалённое исполнение кода на устройстве. Mandiant приписала первичную эксплуатацию кластеру UNC5221, предположительно китайскому шпионажу, который ставил веб-шеллы и крал учётные данные. CISA и другие агентства выпустили чрезвычайные директивы об отключении затронутых устройств. Защита включала поэтапные патчи, запуск Integrity Checker Tool, сброс к заводским настройкам скомпрометированных устройств и ротацию всех соответствующих учётных данных и сертификатов.
Как защититься от 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Защита от 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия 0-day в Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Распространённые альтернативные названия: Ivanti Connect Secure RCE, Цепочка CVE-2024-21887.
● Связанные термины
- attacks№ 202
Внедрение команд
Атака, при которой пользовательский ввод без фильтрации передаётся в системный шелл, и приложение выполняет команды, заданные злоумышленником.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.