A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) acaba de adicionar a mais recente fraqueza do Ivanti ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), uma situação que certamente irritará alguns, já que é mais uma falha de travessia de caminho.
Após uma série de bugs de travessia de caminho de alto perfil que afetaram fornecedores de TI neste ano, a agência cibernética nacional dos EUA sentiu a necessidade de apelar à comunidade de segurança da informação para erradicar esse tipo de vulnerabilidade.
CISA reclamou no início deste ano, que esses bugs existem desde os anos noventa e observou que, desde então, os métodos para garantir que eles não apareçam em softwares se tornaram bem estabelecidos e devem ser implementados universalmente a esta altura.
O alerta de maio seguiu-se a um anúncio em fevereiro de uma epidemia de gravidade máxima. vulnerabilidade no ScreenConnect do ConnectWise (CVE-2024-1708). Alguns pesquisadores descreveram como “vergonhosamente fácil de explorar”. Poucas semanas depois, a Cisco divulgou o CVE-2024-20345, que afeta seu AppDynamics Controller. Ambas as falhas foram usadas para comprometer usuários do software dos fornecedores, incluindo em plataformas de infraestrutura crítica usadas nos setores de saúde e público, daí o alerta da CISA.
O mais recente a causar comoção é o CVE-2024-8963, um bug de travessia de caminho que afeta o Ivanti Cloud Services Appliance (CSA) 4.6, que está em fim de vida útil. Ele carrega uma classificação de gravidade crítica de 9,4.
A correção, que já foi lançada e deve ser aplicada o mais breve possível, será o último patch a ser retroportado para esta versão, Ivanti disse. A versão 5.0 é a primeira que os clientes podem usar e ainda receber atualizações de segurança contínuas.
Ivanti explicou que os invasores podem abusar da vulnerabilidade para acessar funcionalidades restritas e, se ela estiver associada a uma falha de injeção de comando separada que foi corrigida no início deste mês (CVE-2024-8190, CVSS 7.2), os invasores poderão executar comandos com privilégios de administrador.
“Estamos cientes de um número limitado de clientes que foram explorados por essa vulnerabilidade”, disse Ivanti.
Para clientes que desejam saber como determinar se foram comprometidos, “a Ivanti recomenda revisar o CSA para usuários administrativos modificados ou adicionados recentemente”, diz o aviso.
“Embora inconsistentes, algumas tentativas podem aparecer nos logs do broker que são locais para o sistema. Também recomendamos revisar os alertas EDR, se você tiver instalado EDR ou outras ferramentas de segurança no seu CSA. Como este é um dispositivo de ponta, a Ivanti recomenda fortemente usar uma abordagem em camadas para segurança e instalar uma ferramenta EDR no CSA.”
Aqueles que encontrarem sinais de comprometimento são encorajados a reconstruir o CSA com o patch 519 ou, melhor ainda, atualizar para a versão 5.0.
Quando o CISA adiciona uma vulnerabilidade ao Catálogo KEVinclui convenientemente uma seção sobre se o problema em questão é conhecido por ser usado em ataques de ransomware.
O status atual pois isso é “desconhecido”, embora valha a pena ficar de olho caso você tenha que adiar o patch por qualquer motivo, pois isso pode mudar agora que o mundo sabe da existência da vulnerabilidade.
Seguro por design, lentamente, mas com segurança
Já faz algum tempo que a CISA vem pressionando consistentemente os fornecedores de TI a se comprometerem com práticas de desenvolvimento de segurança por design (SBD).
Na verdade, só esta semana, a chefe da agência, Jen Easterly, destacou o problema novamente. Falando na conferência mWise da Mandiant na quarta-feira, ela disse que as falhas dos fornecedores ainda estão causando todos os problemas que permitem que os invasores prosperem.
O CEO da Ivanti, Jeff Abbott, disse aos clientes em abril que sua organização adotaria uma abordagem SBD para o desenvolvimento após um começo de ano complicado – para dizer o mínimo.
“Aproveitaremos esta oportunidade para começar uma nova era na Ivanti”, disse ele. disse. “Nós nos desafiamos a analisar criticamente cada fase dos nossos processos e cada produto para garantir o mais alto nível de proteção para nossos clientes.
“Já começamos a aplicar aprendizados de incidentes recentes para fazer melhorias imediatas em nossas próprias práticas de engenharia e segurança. E há mais por vir.”
Quando Abbott se referiu a “incidentes recentes”, ele estava falando sobre as vulnerabilidades no Connect Secure e no Policy Secure que estavam amplamente explorado em janeiroinclusive na CISA, que rapidamente ordenou que todas as agências federais retirassem seus kits Ivanti.
Medidas drásticas para situações terríveis e tudo mais.
Especialistas em Volexity disse se a mitigação não fosse aplicada no dia em que foi lançada, havia uma “chance razoável” de que a VPN de uma organização pudesse ser explorada.
Em maio, a CISA lançou seu compromisso de segurança por design na RSA, permitindo que os fornecedores façam uma demonstração pública de seu comprometimento em eliminar fraquezas comuns em produtos.
Ao anunciar o compromisso, Easterly deu a entender que uma revisão do progresso de todos será o centro das atenções na RSA do ano que vem, para que saibamos com certeza quais fornecedores levam a segurança a sério.
O diretor da CISA não tem medo de dizer as coisas como elas são, então definitivamente não gostaríamos de ser um patrocinador que não faz progressos significativos quando abril chega.
