Odkryte niedawno luki bezpieczeństwa w systemach VPN firmy Ivanti, szczególnie w Ivanti Connect Secure VPN i Policy Secure, wzbudziły poważne obawy wśród ekspertów ds. cyberbezpieczeństwa. Luki te, oznaczone jako CVE-2023-46805 i CVE-2024-21887, umożliwiają napastnikom obejście uwierzytelniania i wykonanie dowolnych poleceń w systemie. Firma Ivanti zwróciła uwagę, że atakujący mogą wykorzystywać te słabości do celowania w klientów korzystających z Connect Secure VPN, co stwarza ryzyko dla zarówno małych firm, jak i dużych korporacji.

Według raportu opublikowanego przez Volexity, do tej pory nastąpiło naruszenie bezpieczeństwa ponad 2,1 tys. urządzeń Ivanti Connect Secure VPN. Zidentyfikowane luki otrzymały wysokie oceny zagrożenia według skali CVSS:

CVE-2023-46805 z oceną 8,2/10

oraz CVE-2024-21887 z oceną 9,1/10.

Aby zaradzić tym problemom firma Ivanti opublikowała aktualizacje bezpieczeństwa pod koniec stycznia, a CISA (Cybersecurity and Infrastructure Security Agency) zaleciła natychmiastowe odłączenie dotkniętych produktów od sieci oraz podjęcie działań w celu wykrycia i zarządzania zagrożeniami.

Interesującym aspektem tych ataków jest to, że za ich przeprowadzenie może odpowiadać chińska grupa hakerska UTA0178, co dodatkowo podnosi poziom złożoności i międzynarodowego wpływu tych działań. Ivanti nabyło technologię Connect Secure VPN w 2020 roku, przejmując Pulse Secure, co czyni te odkrycia jeszcze bardziej znaczącymi w kontekście bezpieczeństwa globalnego cyberprzestrzeni.

Podjęcie natychmiastowych środków zaradczych oraz aktualizacja oprogramowania do najnowszych wersji jest kluczowe dla ochrony przed potencjalnymi atakami wykorzystującymi te luki. Monitoring uwierzytelniania i usług zarządzania tożsamością, a także izolacja systemów od zasobów przedsiębiorstwa, mogą również przyczynić się do zwiększenia bezpieczeństwa danych wrażliwych i infrastruktury IT.

Oto kilka potencjalnych konsekwencji, które mogą wynikać z ataku przez opisaną podatność:

Naruszenie danych: Napastnicy mogą wykorzystać te luki do uzyskania dostępu do wrażliwych danych firmowych lub osobistych, co może prowadzić do kradzieży danych, wycieku informacji poufnych i potencjalnie naruszenia prywatności użytkowników.

Naruszenie bezpieczeństwa sieci: Zdolność napastników do wykonania dowolnych poleceń w systemie może umożliwić im pełną kontrolę nad zainfekowanymi urządzeniami, co zagraża integralności i dostępności infrastruktury IT.

Finansowe i reputacyjne straty: Ataki te mogą prowadzić do bezpośrednich strat finansowych związanych z naruszeniami danych, a także do długoterminowych szkód dla reputacji firmy, co może wpłynąć na zaufanie klientów i partnerów biznesowych.

Przestoje w działaniu: Próby radzenia sobie z atakami i ich skutkami mogą prowadzić do znaczących przestojów w działaniu systemów, co z kolei może wpłynąć na operacje biznesowe, produktywność i generowanie przychodów.

Wymóg zwiększenia inwestycji w bezpieczeństwo: Firmy mogą być zmuszone do zwiększenia wydatków na cyberbezpieczeństwo, w tym na narzędzia bezpieczeństwa, usługi monitorowania oraz szkolenia personelu, aby zapobiec przyszłym atakom.

Zaostrzenie regulacji i wymogów prawnych: W odpowiedzi na takie incydenty firmy mogą również napotkać na zaostrzone wymogi regulacyjne i prawne dotyczące ochrony danych i cyberbezpieczeństwa, co może wymagać dodatkowych działań i zasobów do spełnienia tych wymogów.

Firmy i organizacje korzystające z systemów VPN Ivanti powinny natychmiast zastosować zalecane przez producenta łatki bezpieczeństwa, monitorować swoje systemy pod kątem potencjalnych zagrożeń oraz wdrożyć dodatkowe środki ochronne, aby zminimalizować ryzyko związane z tymi lukami