Zaawansowane zagrożenia wykorzystywały krytyczną lukę RCE w Ivanti

Krytyczna podatność w produktach Ivanti – co musisz wiedzieć?

W ostatnim czasie wykryto poważną lukę bezpieczeństwa w produktach firmy Ivanti, która umożliwia zdalne wykonanie kodu (RCE – Remote Code Execution). Podatność, oznaczona jako CVE-2024-21887, została sklasyfikowana jako krytyczna z maksymalną oceną CVSS 10.0, co świadczy o jej wyjątkowo wysokim poziomie zagrożenia.

Na czym polega zagrożenie?

Luka występuje w komponentach uwierzytelniania produktów Ivanti Connect Secure (ICS) oraz Ivanti Policy Secure (IPS). Pozwala ona atakującym na ominięcie mechanizmów uwierzytelniania i wykonanie dowolnego kodu na zaatakowanym systemie bez potrzeby posiadania poświadczeń dostępu.

Skala problemu

Według danych firmy Ivanti, podatność dotyczy następujących wersji oprogramowania:

• ICS wersje 9.1R14.4 i wcześniejsze
• ICS wersje 9.2R9.4 i wcześniejsze
• IPS wersje 9.1R14.4 i wcześniejsze
• IPS wersje 9.2R9.4 i wcześniejsze

Aktywne wykorzystanie podatności

Co szczególnie niepokojące, luka jest aktywnie wykorzystywana przez cyberprzestępców. Zaobserwowano już przypadki ataków, w których hakerzy:

• Wdrażali złośliwe webshelle
• Tworzyli backdoory w systemach
• Przeprowadzali lateral movement w zaatakowanych sieciach

Rekomendowane działania zabezpieczające

Administratorzy systemów powinni niezwłocznie podjąć następujące kroki:

1. Aktualizacja systemów do najnowszych dostępnych wersji
2. Wdrożenie tymczasowych środków zaradczych zalecanych przez Ivanti
3. Przegląd logów systemowych pod kątem podejrzanej aktywności
4. Zmiana wszystkich poświadczeń dostępowych
5. Monitoring ruchu sieciowego w poszukiwaniu anomalii

Najczęściej zadawane pytania (FAQ)

Czy moja organizacja jest zagrożona?

Jeśli korzystasz z produktów Ivanti Connect Secure lub Policy Secure w podatnych wersjach, twoja infrastruktura może być narażona na ataki.

Jak sprawdzić, czy system został zaatakowany?

Należy przeanalizować logi systemowe pod kątem nieautoryzowanych prób logowania, nietypowej aktywności sieciowej oraz obecności nieznanych plików i procesów.

Jakie są konsekwencje udanego ataku?

Atakujący może uzyskać pełną kontrolę nad systemem, wykraść poufne dane oraz wykorzystać skompromitowany system jako punkt wyjścia do dalszych ataków.

Wnioski i zalecenia końcowe

Krytyczna podatność w produktach Ivanti stanowi poważne zagrożenie dla bezpieczeństwa organizacji. Kluczowe jest podjęcie natychmiastowych działań zabezpieczających:

• Regularne aktualizowanie systemów i aplikacji
• Wdrożenie wielopoziomowej ochrony (defense-in-depth)
• Monitorowanie i analiza ruchu sieciowego
• Szkolenie pracowników w zakresie cyberbezpieczeństwa
• Przygotowanie i testowanie planów reagowania na incydenty

Pamiętaj, że w przypadku wykrycia podejrzanej aktywności należy natychmiast zgłosić incydent do zespołu bezpieczeństwa i podjąć odpowiednie kroki zaradcze zgodnie z procedurami organizacji.