Subito dopo il rilascio di importanti informazioni da parte di Volexity e Ivanti, lo scorso 10 gennaio, emerge una preoccupante minaccia informatica che sembra aver coinvolto oltre 1.700 dispositivi Ivanti Connect Secure VPN in tutto il mondo.
Aggressori sconosciuti stanno sfruttando due vulnerabilità zero-day senza patch, CVE-2023-46805 (bypass di autenticazione) e CVE-2024-21887 (vulnerabilità di command injection), per compromettere organizzazioni e installare webshell sui loro server web interni ed esterni.
Indice degli argomenti
Due zero-day sulle VPN Ivanti generano compromissioni a livello globale
I ricercatori di Volexity, che monitorano da vicino questa situazione, avvertono che non solo l’autore principale, identificato con l’alias UTA0178 e presumibilmente sostenuto dalla Cina, è coinvolto, ma anche altri attori malevoli sembrano aver ottenuto accesso agli exploit e stanno cercando attivamente di colpire ulteriori dispositivi. Gli attacchi sono iniziati da dicembre scorso e continuano a rappresentare una seria minaccia per la sicurezza informatica a livello globale.
Mandiant, operante nel campo della sicurezza informatica, ha condiviso gli indicatori di compromissione del malware personalizzato utilizzato da UTA0178. La comunità di sicurezza ha identificato gli attaccanti come sponsorizzati dalla Cina, concentrati principalmente nello spionaggio informatico. Dopo la divulgazione di queste informazioni, Volexity ha notato un aumento delle scansioni da parte di individui apparentemente a conoscenza delle vulnerabilità, oltre a segnalazioni di organizzazioni che hanno rilevato compromissioni a partire dall’11 gennaio 2024.
Gli attacchi hanno colpito indiscriminatamente, con oltre 1.700 dispositivi VPN Ivanti Connect Secure compromessi dalla webshell GIFTEDVISITOR. Le vittime si estendono su scala globale e comprendono organizzazioni di varie dimensioni, dalle piccole imprese a importanti aziende Fortune 500 in diversi settori verticali.
Sulla base di dati condivisi da portali di scansione di dispositivi in rete, i canali VPN Ivanti attivi ed esposti ad Internet, negli ultimi giorni, a livello globale e potenzialmente a rischio, sono oltre 18.000. Di questi, poco meno di 5.500 sono dislocati in Europa.
Soluzioni di mitigazioni del rischio
Nonostante le misure temporanee di mitigazione proposte, Volexity avverte che l’applicazione di patch e mitigazioni non risolverà i compromessi passati. Le organizzazioni colpite sono fortemente incoraggiate a esaminare attentamente i propri registri, la telemetria di rete e i risultati degli strumenti di sicurezza per individuare segni di compromissione.
Volexity ha avviato un nuovo metodo di scansione per identificare la webshell GIFTEDVISITOR su dispositivi Ivanti Connect Secure VPN, identificando oltre 1.700 dispositivi compromessi in tutto il mondo. Questo sottolinea l’urgente necessità di azioni correttive da parte delle organizzazioni coinvolte.
In risposta a questa emergenza, Ivanti ha pubblicato linee guida aggiornate per il recupero, mentre Rapid7 ha rilasciato un’analisi tecnica dettagliata sulle due vulnerabilità.
Le organizzazioni interessate sono invitate a implementare immediatamente le misure proposte e a svolgere le proprie indagini per confermare o negare una violazione, poiché la collaborazione con i CERT nazionali è in corso solo con i contatti noti.
