Ivanti ha rilasciato aggiornamenti di sicurezza per risolvere le vulnerabilità (CVE-2025-22457) in Ivanti Connect Secure, Policy Secure e ZTA Gateway. Un cyber threat actor potrebbe sfruttare CVE-2025-22457 per prendere il controllo di un sistema interessato.
La CISA ha aggiunto CVE-2025-22457 al suo catalogo delle vulnerabilità note sfruttate. La CISA (Cybersecurity and Infrastructure Security Agency) ha recentemente emesso avvisi riguardanti una vulnerabilità nei prodotti firewall di Ivanti che sta essendo attivamente sfruttata da hacker sospettati di essere di origine cinese. Ecco alcuni punti chiave sulla situazione: Dettagli della vulnerabilità: Il bug colpisce alcune versioni di Ivanti Connect Secure ed è stato collegato a un gruppo di spionaggio informatico con legami con la Cina.
Nel suo avviso, la CISA ha esortato le organizzazioni che utilizzano questi prodotti Ivanti a intraprendere azioni immediate, tra cui la disconnessione dei dispositivi interessati per mitigare i rischi.
Minaccia in corso: Questa non è la prima volta che la CISA avvisa le organizzazioni sugli hacker sostenuti dallo stato che sfruttano le vulnerabilità di Ivanti. Dal 2020, ci sono stati numerosi avvisi riguardanti minacce simili.
Impatto: Lo sfruttamento di questa vulnerabilità potrebbe portare a gravi violazioni della sicurezza, rendendo fondamentale per le organizzazioni rimanere vigili e applicare gli aggiornamenti o le patch necessari.
Dettagli sulle azioni di difesa:
Per tutte le istanze di Ivanti Connect Secure che non sono state aggiornate entro il 28 febbraio 2025 all'ultima patch di Ivanti (22.7R2.6) e per tutte le istanze di Pulse Connect Secure (EoS), Policy Secure e ZTA Gateway, CISA esorta utenti e amministratori a implementare le seguenti azioni: Condurre azioni di caccia alle minacce: Esegui uno strumento di controllo dell'integrità esterno (ICT). Per ulteriori indicazioni, consulta le istruzioni di Ivanti.
Eseguire azioni di ricerca delle minacce su tutti i sistemi connessi al dispositivo Ivanti interessato o che si sono connessi di recente.
Se le azioni di caccia alle minacce non determinano alcun compromesso: Per il massimo livello di sicurezza, esegui un ripristino delle impostazioni di fabbrica. Per i sistemi cloud e virtuali, eseguire un ripristino delle impostazioni di fabbrica utilizzando un'immagine esterna pulita del dispositivo.
Applicare la patch descritta in Security Advisory Ivanti Connect Secure, Policy Secure e ZTA Gateways (CVE-2025-22457). Si noti che le patch per Ivanti ZTA Gateways e Ivanti Policy Secure saranno disponibili rispettivamente il 19 e il 21 aprile. Si consiglia di disconnettere i dispositivi vulnerabili finché non saranno disponibili le patch.
Monitorare i servizi di autenticazione o di gestione dell'identità che potrebbero essere esposti.
Continuare a controllare gli account con accesso a livello di privilegio.
Se le azioni di ricerca delle minacce determinano un compromesso: Per i dispositivi che sono stati confermati compromessi, isolare tutte le istanze interessate dalla rete. Mantenere isolati i dispositivi interessati fino al completamento delle seguenti istruzioni e all'applicazione delle patch.
Acquisisci un'immagine forense (inclusa l'acquisizione della memoria) o contatta Ivanti per ottenere una copia dell'immagine.
Disconnettere tutte le istanze compromesse.
Per il massimo livello di sicurezza, esegui un ripristino delle impostazioni di fabbrica.Per i sistemi cloud e virtuali, eseguire un ripristino delle impostazioni di fabbrica utilizzando un'immagine esterna pulita del dispositivo.
Revoca e riemette tutti i certificati, le chiavi e le password connessi o esposti, includendo quanto segue: Reimposta la password di abilitazione amministratore.
Reimposta le chiavi API (Application Programming Interface) memorizzate.
Reimposta la password di tutti gli utenti locali definiti sul gateway, inclusi gli account di servizio utilizzati per la configurazione del server di autenticazione.
Se gli account di dominio associati ai prodotti interessati sono stati compromessi: Reimpostare due volte le password per gli account on-premise, revocare i ticket Kerberos e quindi revocare i token per gli account cloud nelle distribuzioni ibride.
Per i dispositivi registrati/collegati al cloud, disabilitare i dispositivi nel cloud per revocare i token del dispositivo.
Applicare la patch descritta nell'avviso di sicurezza Ivanti Connect Secure, Policy Secure e ZTA Gateway (CVE-2025-22457). Si noti che le patch per Ivanti ZTA Gateway e Ivanti Policy Secure saranno disponibili rispettivamente il 19 e il 21 aprile.
Segnalarlo immediatamente a CISA e Ivanti.
Le organizzazioni devono segnalare incidenti e attività anomale al Centro operativo 24 ore su 24, 7 giorni su 7 del CISA all'indirizzo Report@cisa.gov o al numero (888) 282-0870.
Nessun commento:
Posta un commento