Lỗ hổng Ivanti mới bị hacker nhắm đến

Ivanti

Các nhà nghiên cứu tại Shadowserver Foundation đã phát hiện các cuộc tấn công nhắm vào lỗi Ivanti vTM CVE-2024-7593 dựa trên các PoC đã được công khai. Mới đây nhất, ngày 25/9/2024 vừa qua, theo Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), lỗ hổng xác thực quan trọng trong Ivanti Virtual Traffic Manager (vTM) hiện đã bị tin tặc khai thác ngoài thực tế.

Lỗ hổng Ivanti mới – thách thức mới

Một lỗ hổng bỏ qua xác thực nghiêm trọng với tên theo dõi CVE-2024-7593, được chấm điểm CVSS là 9.8 (nghiêm trọng) vừa được phát hiện đã bị hacker khai thác. Lỗ hổng này cho phép đối tượng tấn công không được xác thực có thể bỏ qua bước xác thực tại admin panel do sai sót trong khâu triển khai thuật toán xác thực.Điều này dẫn đến việc đối tượng tấn công truy cập và thực hiện các hành vi trái phép.

CISA đã thêm lỗi này vào danh sách dài các lỗ hổng đã bị khai thác (KEV) vào ngày 24 tháng 9, với thời hạn cho các cơ quan liên bang vá lỗi được gia hạn đến ngày 15 tháng 10. Tuy nhiên, Ivanti vẫn chưa cập nhật khuyến cáo bảo mật của mình để phản ánh thông tin.

Mặc dù những lo ngại về việc bị khai thác lỗ hổng hiện đã trở thành hiện thực, tuy nhiên vẫn chưa thể xác định được mức độ khai thác của cuộc tấn công. CISA cho biết hiện tại họ cũng không biết liệu lỗ hổng này có được sử dụng trong các cuộc tấn công ransomware hay không.

Các nỗ lực của Ivanti trong việc vá lỗ hổng

Ivanti hồi giữa tháng 8 đã khắc phục lỗ hổng vừa được đề cập, có mã theo dõi CVE-2024-7593 (điểm CVSS là 9,8), ảnh hưởng đến các thiết bị Virtual Traffic Manager (vTM). Ivanti vTM là giải pháp quản lý lưu lượng dựa trên phần mềm, giúp tối ưu hóa và bảo mật việc phân phối ứng dụng. Lỗ hổng này có thể cho phép kẻ tấn công tạo tài khoản quản trị viên giả mạo.

Công ty đã giải quyết lỗi này bằng bản vá 22.2R1 (phát hành ngày 26 tháng 3 năm 2024) hoặc 22.7R2 (phát hành ngày 20 tháng 5 năm 2024). Theo khuyến cáo của công ty, “Khai thác thành công có thể dẫn đến việc bỏ qua xác thực và tạo ra một người dùng quản trị viên.” Việc triển khai không chính xác thuật toán xác thực cho phép kẻ tấn công từ xa bỏ qua xác thực trên bảng điều khiển quản trị vTM.

Mới đây nhất, Ivanti phát hành bản vá khắc phục lỗ hổng RCE đặc biệt nghiêm trọng trong phần mềm Endpoint Management.

Các sản phẩm của Ivanti thường xuyên bị các tác nhân đe dọa nhắm tới, thường là các lỗ hổng zero-day, đặc biệt là trong các thiết bị cổng, VPN và phần mềm quản lý thiết bị di động.

Chỉ trong tháng đầu tiên của năm 2024, nhà cung cấp đã phát hành bản vá cho bốn lỗ hổng bảo mật, trong đó có hai lỗ hổng bị tin tặc Trung Quốc khai thác dưới dạng lỗ hổng zero-day. Đây cũng là minh chứng rõ ràng cho thấy các cuộc tấn công mạng ngày càng trở nên tinh vi và phức tạp.

Để bảo vệ hệ thống của mình, các tổ chức cần tăng cường các biện pháp bảo mật và thường xuyên theo dõi các thông báo về lỗ hổng mới. Bên cạnh đó, các nhà cung cấp phần mềm cũng cần tăng cường kiểm tra và vá lỗi sản phẩm của mình để giảm thiểu rủi ro bị khai thác.