Cảnh báo của CISA về lỗ hổng mới trong sản phẩm Ivanti đang bị tấn công
Hacker đang khai thác một lỗ hổng khác trong một trong những sản phẩm doanh nghiệp của Ivanti được sử dụng rộng rãi, cảnh báo từ cơ quan an ninh mạng của chính phủ Mỹ, CISA, trong thông báo mới nhất vào tuần này.
Lỗ hổng thực thi mã từ xa trong Ivanti Endpoint Manager (EPM), một công cụ giúp tổ chức quản lý và bảo mật flotte thiết bị của nhân viên, đã được Tiến Trình Zero Initiative của Trend Micro tiết lộ vào tháng 4 và được Ivanti vá vào tháng sau.
Lỗi này cho phép kẻ tấn công chưa xác thực chạy mã độc hại từ xa trên máy chủ của khách hàng bị ảnh hưởng của Ivanti.
Bây giờ, CISA nói rằng hacker đang khai thác lỗ hổng này – được theo dõi dưới dạng CVE-2024-29824 – để xâm nhập vào hệ thống chưa được vá, theo thông báo của họ vào thứ Tư, trích dẫn bằng chứng của sự lạm dụng hoạt động. Thông báo của CISA yêu cầu tất cả các cơ quan dân sự liên bang cập nhật hệ thống dễ bị tổn thương trước ngày 23 tháng 10 để phòng chống sự lạm dụng.
“Các lỗ hổng này thường là vector tấn công tiềm ẩn cho các hành động tình báo mạng độc hại và tạo ra nguy cơ lớn đối với doanh nghiệp liên bang,” CISA nói.
Ivanti, công ty phần mềm IT có trụ sở tại Mỹ với hơn 40.000 khách hàng doanh nghiệp – bao gồm đa số các công ty trong Fortune 100, đã xác nhận trong một cập nhật đến cảnh báo bảo mật Tháng 5 tuần này rằng lỗ hổng đã được sử dụng để nhắm mục tiêu vào “một số hạn chế” khách hàng của Ivanti.
Ivanti chưa nói số lượng khách hàng của họ bị tổn thương, và một người phát ngôn của Ivanti khi được liên hệ bởi TechCrunch không cung cấp bình luận. Công ty vẫn chưa nói xem họ có nhận thức về việc tiến hành trộn dữ liệu khách hàng không do các sự cố.
Ivanti không còn lạ lẫm với hacker lợi dụng lỗ hổng trong phần mềm của mình. Trước đó trong năm nay, công ty xác nhận rằng hacker đang lợi dụng một số lỗ hổng trong Connect Secure, giải pháp VPN kết nối từ xa được sử dụng bởi hàng ngàn công ty và tổ chức lớn trên toàn thế giới.
Thông báo này đến chỉ vài tuần sau khi Ivanti xác nhận việc lợi dụng hai lỗ hổng zero-day trước đó trong Connect Secure. Các nhà nghiên cứu an ninh liên kết các tấn công với hacker được ủng hộ bởi Trung Quốc đã sử dụng lỗ hổng để xâm nhập vào mạng lưới khách hàng và đánh cắp thông tin.
Hackers are exploiting yet another vulnerability in one of Ivanti’s widely used enterprise products, the U.S. government’s cybersecurity agency CISA warned in a fresh alert this week.
The remote code execution flaw in Ivanti Endpoint Manager (EPM), a tool that helps organizations manage and secure their fleets of employee devices, was first disclosed by Trend Micro’s Zero Day Initiative in April and patched by Ivanti the following month.
The bug allows an unauthenticated attacker to remotely run malicious code on an affected Ivanti customer’s server.
Now, CISA says hackers are actively exploiting this vulnerability — tracked as CVE-2024-29824 — to hack into unpatched systems, according to its advisory on Wednesday, citing evidence of active exploitation. CISA’s advisory requires that all federal civilian agencies update vulnerable systems by October 23 to defend against exploitation.
“These types of vulnerabilities are frequent attack vectors for malicious cyber actors and pose significant risks to the federal enterprise,” CISA said.
Ivanti, the U.S.-based IT software company with over 40,000 corporate customers — including much of the Fortune 100, confirmed in an update to its May security advisory this week that the vulnerability was actively used to target a “limited number” of Ivanti customers.
Ivanti hasn’t said how many of its customers were compromised, and an Ivanti spokesperson did not provide comment when contacted by TechCrunch. The company has yet to say if it was aware of any customer data exfiltration due to the compromises.
Ivanti is no stranger to hackers abusing vulnerabilities in its software. Earlier this year, the company confirmed that hackers were mass-exploiting vulnerabilities in Connect Secure, its remote access VPN solution used by thousands of corporations and large organizations worldwide.
This disclosure came just weeks after Ivanti confirmed the exploitation of two earlier zero-day flaws in Connect Secure. Security researchers linked the attacks to China-backed hackers who had been using the vulnerabilities to break into customer networks and steal information.
[ad_2]
