CISA har publicerat en varning för att försvara sig mot hotaktörer som utnyttjar sårbarheter i Ivanti Connect Secure och Policy Secure Gateways i Ivanti-enheter (CVE-2023-46805 och CVE-2024-21887).
Hotaktörer fortsätter att utnyttja sårbarheter i Ivanti Connect Secure och Policy Secure Gateways för att fånga inloggningsuppgifter och/eller placera webbgränssnitt som möjliggör ytterligare kompromettering av företagsnätverk. Vissa hotaktörer har utvecklat andra lösningar mot åtgärder och detekteringsmetoder och har kunnat utnyttja svagheter och öka privilegier utan att upptäckas. CISA känner till fall där sofistikerade hotaktörer har underminerat verktyget för extern integritetskontroll (ICT), vilket ytterligare minskar spår av intrången.
Om en organisation har använt Ivanti Connect Secure (9.x och 22.x) och Policy Secure gateways under de senaste veckorna och/eller fortsätter att använda dessa produkter, rekommenderar CISA kontinuerlig threat hunting på alla system som är anslutna till – eller nyligen anslutna till – Ivanti-enheten. Organisationer bör även övervaka autentisering, kontohantering och identitetshanteringstjänster som kan vara exponerade och isolera systemen så mycket som möjligt från företagets resurser.
Efter att ha tillämpat patchar, när dessa blir tillgängliga, rekommenderar CISA att organisationer fortsätter att threat detection i nätverken för att upptäcka eventuell kompromettering som kan ha inträffat innan patcharna implementerades.
Källor och översättning
Cisa.gov
Securityweek
