האקרים תקפו פגיעויות בספקית מערכת לניהול פגיעויות

האקרים סינים ניצלו שתי פגיעויות ב-איבנטי (Ivanti) ותקפו את מערכת ניהול הפגיעויות של ספקית תוכנות ה-IT והאבטחה.

איבנטי חשפה כי צמד נקודות התורפה הן בדרגת חומרה גבוהה, וכי הניצול שלהן לרעה משפיע על ה-Connect Secure VPN שלה.

בחודש שעבר גילו חוקרי וולקסיטי שניתן לנצל פגיעויות אלה כדי לאפשר שליטה מרחוק במכשירי Connect Secure VPN של ספקית האבטחה.

איבנטי פרסמה אמצעים להפחתת הפגיעות, אך הודיעה כי הטלאות לתיקון החולשות תהיינה זמינות רק בעוד כמה ימים, בשבוע של ה-22 בינואר, וכי האספקה שלהן תימשך עד אמצע פברואר. לדבריה, "גורמי איומים עלולים לעשות שימוש בפגיעויות, ולהתמקד בלקוחות שלה שיש להם Connect Secure VPN שלה. בדרך זו, ניתן לנצל את הפגיעויות ללא צורך באימות. מצב זה מאפשר לשחקן האיום ליצור בקשות זדוניות ולבצע פקודות שרירותיות במערכת". לפי החברה, ידוע לה על יותר מ-10 לקוחות ארגוניים שהושפעו מהפגיעויות.

ההערכות: המבצע – שחקן איום שפועל בחסות מדינת לאום, בשם UTA0178

יצוין שאיבנטי רכשה את הטכנולוגיה שמאחורי Connect Secure VPN שלה כשקנתה את Pulse Secure ב-2020. החברה מתמחה בעולמות ניהול משאבי ה-IT ואבטחת המידע, ולה יותר מ-40 אלף לקוחות ארגוניים, בהם 78 מחברות פורצ'ן 100.

פגיעות מעקף האימות (CVE-2023-46805) זכתה לציון חומרה של 8.2 ואילו פגיעות הזרקת הפקודה (CVE-2024-21887) זכתה בציון חומרה של 9.1. על פי איבנטי, "הפגיעויות משפיעות על כל הגרסאות הנתמכות של Connect Secure".

חוקרי וולקסיטי ייחסו את ההתקפות נגד לקוחות Connect Secure לשחקן איום שפועל בחסות מדינת לאום, בשם UTA0178. ההערכות בקרב מומחי אבטחה הן שמדובר בקבוצת האקרים שפועלת בגיבוי הממשל הסיני.

לפני כשנה ביקר בארץ שריניבאס מוקאמלה, סגן נשיא בכיר לפתרונות אבטחה באיבנטי, ואמר כי "פער הזמן בין גילוי חולשה ועד לחסימתה עם עדכון תוכנה – ארוך מדי, ומייצר נקודות תורפה המסכנות את הארגון. בסייבר מתקיימת מלחמה א-סימטרית, והדבר נכון במיוחד בתחום של ניהול פגיעויות. התוקף צריך למצוא רק נקודת תורפה אחת כדי לפרוץ לארגון ולעומתו, מגיני הסייבר צריכים להגן, לנטר ולאבטח אינסוף נקודות תורפה ואפשרויות תקיפה". מחקר שערכה החברה לפני כשנה העלה כי קבוצות האקרים מנצלות פגיעויות בארגונים שטרם עדכנו את המערכות שלהם, גם לביצוע של מתקפות כופרה.