Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Sáu đã ban hành một chỉ thị khẩn cấp kêu gọi các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) thực hiện các biện pháp giảm thiểu đối với hai lỗ hổng zero-day bị khai thác tích cực trong các sản phẩm Ivanti Connect Secure (ICS) và Ivanti Policy Secure (IPS).
Sự phát triển diễn ra sau khi các lỗ hổng - bỏ qua xác thực (CVE-2023-46805) và lỗi tiêm mã (CVE-2024-21887) - bị khai thác rộng rãi các lỗ hổng bởi nhiều tác nhân đe dọa. Các lỗ hổng cho phép một tác nhân độc hại tạo ra các yêu cầu độc hại và thực hiện các lệnh tùy ý trên hệ thống.
Công ty Mỹ thừa nhận trong một tư vấn rằng họ đã chứng kiến "sự gia tăng mạnh mẽ trong hoạt động đe dọa" bắt đầu từ ngày 11/1/2024, sau khi những thiếu sót được tiết lộ công khai.
"Việc khai thác thành công các lỗ hổng trong các sản phẩm bị ảnh hưởng này cho phép một tác nhân đe dọa độc hại di chuyển ngang, thực hiện lọc dữ liệu và thiết lập quyền truy cập hệ thống liên tục, dẫn đến sự xâm phạm hoàn toàn các hệ thống thông tin mục tiêu", cơ quan này cho biết.
Ivanti, dự kiến sẽ phát hành bản cập nhật để giải quyết các lỗ hổng vào tuần tới, đã cung cấp một giải pháp tạm thời thông qua một tệp XML có thể được nhập vào các sản phẩm bị ảnh hưởng để thực hiện các thay đổi cấu hình cần thiết.
CISA đang kêu gọi các tổ chức chạy ICS áp dụng biện pháp giảm thiểu và chạy Công cụ kiểm tra tính toàn vẹn bên ngoài để xác định các dấu hiệu xâm phạm và nếu tìm thấy, hãy ngắt kết nối chúng khỏi mạng và đặt lại thiết bị, sau đó nhập tệp XML.
Ngoài ra, các thực thể FCEB được khuyến khích thu hồi và cấp lại mọi chứng chỉ được lưu trữ, đặt lại mật khẩu cho phép quản trị viên, lưu trữ khóa API và đặt lại mật khẩu của bất kỳ người dùng cục bộ nào được xác định trên cổng.
Các công ty an ninh mạng Volexity và Mandiant đã quan sát thấy các cuộc tấn công vũ khí hóa hai lỗ hổng kép để triển khai web shell và backdoor thụ động để truy cập liên tục vào các thiết bị bị xâm nhập. Có tới 2.100 thiết bị trên toàn thế giới được ước tính đã bị xâm nhập cho đến nay.
Làn sóng tấn công ban đầu được xác định vào tháng 12/2023 được cho là do một nhóm quốc gia Trung Quốc đang bị theo dõi là UTA0178. Mandiant đang theo dõi hoạt động dưới biệt danh UNC5221, mặc dù nó không được liên kết với bất kỳ nhóm hoặc quốc gia cụ thể nào.
Công ty tình báo mối đe dọa GreyNoise cho biết họ cũng đã quan sát thấy các lỗ hổng bị lạm dụng để thả các cửa hậu dai dẳng và các thợ đào tiền điện tử XMRig, cho thấy sự khai thác cơ hội của các tác nhân xấu để thu lợi tài chính.