Ivantin tuotteissa kriittisiä hyväksikäytettyjä haavoittuvuuksia

PÄIVITYS 9.2. 

Ivanti julkaisi jälleen uuden haavoittuvuuden (Ulkoinen linkki) Ivanti Connect Secure, Ivanti Policy Secure ja ZTA gateway -tuotteisiinsa. 
Haavoittuvuus CVE-2024-22024 on kuitenkin jo korjattu 30.1. julkaistuilla päivityksillä ja sitä ei toistaiseksi ole havaittu käytettävän hyväksi. Organisaatioiden on suositeltavaa päivittää tuotteensa uusimmilla päivityksillä. 


PÄIVITYS 31.1.2024

Ivanti julkaisi korjaavia päivityksiä saataville (Ulkoinen linkki). Ivanti julkaisi 31.1. myös kaksi uutta haavoittuvuutta, joista toinen (CVE-2024-21893) on ollut jo hyväksikäytön kohteena. Ivanti julkaisi samalla korjaavia toimenpiteitä versioille, joille korjaavat päivitykset eivät ole vielä saatavilla. Koska uutta tänään julkaistua haavoittuvuutta CVE-2024-21893 on jo havaittu hyväksikäytettävän, on kyseisiä Ivanti-tuotteita käyttävien organisaatioiden reagoitava haavoittuvuuksien korjaamiseen välittömästi. 

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.

Päivitykset saatavilla seuraaviin 31.1.2024: 
Ivanti Connect Secure (versiot 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1) ja ZTA versio 22.6R1.3.

-Ivanti suosittelee laitteiden uudelleen asennusta (Ulkoinen linkki) (factory reset). Ivanti kertoo tämän vievän jopa 3-4 tuntia.
-Korjauspäivitysten asentamista
-Laitteessa käytettyjen salasanojen ja muiden tunnisteiden vaihtoa. Tällä tarkoitetaan esimerkiksi salasanoja, sertifikaatteja ja API-avaimia.

Kyberturvallisuuskeskus suosittelee organisaatioita lukemaan ajatuksella Ivantin artikkelin (Ulkoinen linkki) ennen päivitys- tai korjausprosessin aloittamista.

Aiempi tiedote 10.1.2024:

Ivanti Connect Secure (entinen Pulse Secure) sekä Ivanti Policy Secure -tuotteista on havaittu kaksi haavoittuvuutta. Haavoittuvuudet koskevat ohjelmistojen kaikkia tuettuja versioita. Haavoittuvuudet ketjutettuna mahdollistavat hyökkääjälle pääsyn palvelimelle ilman tunnistautumista. Tämän jälkeen hyökkääjän on mahdollista suorittaa komentoja kohteena olevassa järjestelmässä. Haavoittuvuuksia korjaavia ohjelmistopäivityksiä ei toistaiseksi ole saatavilla. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvia palvelimia on Suomessa satoja. Kotimaiset organisaatiot käyttävät esimerkiksi Ivantin suosittua VPN-ratkaisua Connect Securea (entinen Pulse Secure).

Ivanti julkaisi (Ulkoinen linkki) (ulkoinen linkki) haavoittuvuuksien hyväksikäyttöä estävät pikakorjaukset organisaatioiden käyttöön. Valmistajalta on saatavilla työkalu (Ulkoinen linkki) (ulkoinen linkki), jonka avulla voi havaita mahdollisen järjestelmään murtautumisen. Hyväksikäytön voi havaita myös sisäisen tarkastusohjelman lokitietojen avulla.

CVE-2023-46805 (CVSS 8.2) tunnistautumisen ohittamisen mahdollistava haavoittuvuus.
CVE-2024-21887 (CVSS 9.1) komentojen mielivaltaisen suorittamisen mahdollistava haavoittuvuus.

Tietoturvayhtiö Volexity kertoo blogissaan (Ulkoinen linkki) (ulkoinen linkki) haavoittuvuuksien hyväksikäytöstä. Ongelman rajoittamiseen julkaistut Ivantin toimenpiteet eivät kuitenkaan korjaa tai estä jo murrettun palvelimen hyväksikäyttöä. Volexity suosittelee organisaatioita tutkimaan palvelimet mahdollisten tietomurtojen osalta. Haavoittuvuuksien hyväksikäyttöä on havaittu joulukuun 2023 alkupuolelta lähtien. Volexity uskoo, että haavoittuvuuden hyväksikäytön takana on valtiollinen toimija. 

Ivantin arvion mukaan korjaavat päivitykset tulevat saataville viikkojen 4-8 aikana (22.1. ja 19.2. alkavat viikot).
Haavoittuvuudet koskevat organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa.