Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) εξέδωσε πρόσφατα προειδοποίηση προς τις ομοσπονδιακές υπηρεσίες σχετικά με τρεις κρίσιμες ευπάθειες στο Ivanti Endpoint Manager (EPM), οι οποίες εκμεταλλεύονται ενεργά σε επιθέσεις. Οι ευπάθειες αυτές, με κωδικούς CVE-2024-13159, CVE-2024-13160 και CVE-2024-13161, επιτρέπουν σε απομακρυσμένους μη αυθεντικοποιημένους επιτιθέμενους να αποκτήσουν πλήρη έλεγχο των ευάλωτων διακομιστών μέσω αδυναμιών απόλυτης διαδρομής.
Λεπτομέρειες ευπαθειών
Οι συγκεκριμένες ευπάθειες εντοπίστηκαν από τον ερευνητή ασφαλείας της Horizon3.ai, Zach Hanley, τον Οκτώβριο του 2024, και διορθώθηκαν από την Ivanti στις 13 Ιανουαρίου 2025. Ωστόσο, λίγο αργότερα, η Horizon3.ai δημοσίευσε αποδείξεις-έννοιες (proof-of-concept) εκμεταλλεύσεων που επιτρέπουν μη αυθεντικοποιημένες επιθέσεις relay για εξαναγκασμό των διαπιστευτηρίων μηχανής του Ivanti EPM.
Αντίδραση της CISA
Στις 10 Μαρτίου 2025, η CISA πρόσθεσε τις τρεις αυτές ευπάθειες στον κατάλογο των Γνωστών Εκμεταλλευόμενων Ευπαθειών (Known Exploited Vulnerabilities), υποδεικνύοντας την ενεργή εκμετάλλευσή τους. Οι ομοσπονδιακές υπηρεσίες έχουν προθεσμία έως τις 31 Μαρτίου 2025 για να ασφαλίσουν τα συστήματά τους, σύμφωνα με την Οδηγία Δεσμευτικής Λειτουργίας (BOD) 22-01.
Προηγούμενες ευπάθειες στο Ivanti
Αξίζει να σημειωθεί ότι το Ivanti έχει αντιμετωπίσει και στο παρελθόν σοβαρές ευπάθειες. Από τις αρχές του 2025, μια ύποπτη ομάδα κατασκοπείας με σύνδεση στην Κίνα (με την ονομασία UNC5221) στόχευσε τα Ivanti Connect Secure VPN appliances, μολύνοντάς τα με τα κακόβουλα λογισμικά Dryhook και Phasejam, μετά από επιτυχημένες επιθέσεις μηδενικής ημέρας για απομακρυσμένη εκτέλεση κώδικα.
Συστάσεις
Η CISA προτρέπει όλες τις οργανώσεις, ανεξαρτήτως αν υπόκεινται στην BOD 22-01, να μειώσουν την έκθεσή τους σε κυβερνοεπιθέσεις, δίνοντας προτεραιότητα στην έγκαιρη διόρθωση των ευπαθειών του καταλόγου ως μέρος της πρακτικής διαχείρισης ευπαθειών. Οι διαχειριστές συστημάτων που χρησιμοποιούν το Ivanti EPM θα πρέπει να εφαρμόσουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας και να αξιολογήσουν τα συστήματά τους για πιθανή έκθεση σε αυτές τις ευπάθειες.
Πηγές: Cisa, TheHackerNews, Broadcom, BleepingComputer
