به تازگی محققان امنیتی دو آسیبپذیری با شناسههای CVE-2023-46805 و CVE-2024-21887 با شدت 9.1 در Connect Secure و Ivanti Policy Secure کشف کردهاند. این آسیبپذیریها میتوانند به مهاجمان اجازه دهند تا با ارسال درخواستهای خاص، کنترل دستگاههای آسیبدیده را به دست گیرند و آسیبهای جدی به شبکههای سازمانی وارد کنند. CVE-2023-46805 یک آسیبپذیری دور زدن احراز هویت در مؤلفه وب ICS (9.x, 22.x) و IPS است که میتواند به مهاجم از راه دور اجازه دهد تا با دور زدن کنترلهای دسترسی، به منابع محدودشده دسترسی پیدا کند. آسیبپذیری CVE-2024-21887 یک نقص تزریق دستور در مؤلفههای وب IPS (9.x , 22.x) و ICS است که به یک کاربر administrator احراز هویت شده اجازه میدهد تا با ارسال درخواستهای جعلی خاص، دستورات دلخواه را بر روی دستگاه آسیبدیده اجرا کند. در صورتی که از هر دو آسیبپذیری مذکور استفاده شود، بهرهبرداری نیازی به احراز هویت نداشته و مهاجم میتواند با ارسال درخواستهای مخرب، دستورات دلخواه خود را بر روی سیستم اجرا کند.
محصولات تحت تأثیر
Connect Secure و Ivanti Policy Secure تحت تأثیر آسیبپذیریهای فوق قرار دارند.
توصیههای امنیتی
پیروی از توصیههای ارائه شده جهت کاهش آسیبپذیریها ضروری است. در این مورد، اقدامات زیر توصیه میشوند:
1- فایروالهای سیستمها به نسخههای 9.12.2 یا 22.3.2 بهروز شود.
2- برای جلوگیری از دسترسی غیرمجاز به فایروالها، از یک فایروال یا سایر دستگاههای امنیتی استفاده شود.
3- برای ورود، از احراز هویت چندعاملی استفاده میشود.
4- برای شناسایی و رفع آسیبپذیریهای موجود در شبکه، از یک برنامه مدیریت آسیبپذیری استفاده شود.
5- جهت آموزش کارکنان در مورد خطرات امنیتی و نحوه محافظت از خود در برابر آنها، از یک برنامه آموزش امنیت سایبری استفاده شود.
منابعخبر:
[1] https://www.ncsc.gov.uk/news/exploitation-ivanti-vulnerabilities
[2] https://www.rapid7.com/blog/post/2024/01/11/etr-zero-day-exploitation-of-ivanti-connect-secure-and-…
- 25