Hai lỗ hổng Zero-Day trong Connect Secure (ICS) và Policy Secure của Ivanti đang bị khai thác thực tế, cho phép kẻ tấn công thực thi mã từ xa. Kết hợp 2 zero-day này, hacker có thể chạy các lệnh tùy ý như chiếm quyền kiểm soát toàn bộ thiết bị, cài đặt virus, backdoor để duy trì kết nối.

Connect Secure (ICS) là giải pháp SSL VPN, cung cấp cho người dùng từ xa quyền truy cập an toàn vào các tài nguyên của công ty, trong khi Policy Secure kiểm soát truy cập mạng, chỉ cấp cho người dùng đã được xác thực quyền truy cập vào mạng của công ty. Các sản phẩm của Ivanti được sử dụng tại khoảng 40.000 công ty trên thế giới để quản lý các tài sản và hệ thống công nghệ thông tin.

Lỗ hổng Zero-Day đầu tiên trên Connect Secure (ICS) bỏ qua xác thực trong thành phần web của ứng dụng, cho phép kẻ tấn công truy cập vào tài nguyên trái phép bằng cách phá vỡ các bước kiểm soát. Zero-Day thứ 2 có trong Policy Secure là lỗi tiêm lệnh, cho phép quản trị viên đã xác thực thực thi lệnh tùy ý trên các thiết bị tồn tại lỗ hổng qua một truy vấn tự tạo.

Theo công ty tình báo về các mối đe dọa Volexity, các lỗ hổng này đã bị khai thác để xâm nhập mạng lưới của khách hàng vào tháng 12/2023 và cho rằng kẻ đứng sau là các tin tặc do Trung Quốc hậu thuẫn. Các chuyên gia bảo mật cũng cho biết có trên 15.000 các cổng kết nối Connect Secure (ICS) và Policy Secure hiện đang mở ra ngoài Internet. Tuy nhiên, phải đến ngày 19/2, nhà sản xuất Ivanti mới phát hành bản vá cuối cùng cho hai lỗ hổng này.

Do đó, các quản trị viên cần kiểm tra và rà soát lại các hệ thống đang sử dụng Connect Secure và Policy Secure để đảm bảo an toàn, đồng theo theo dõi để cập nhật khi có bản vá từ Ivanti.

Bkav