Ivantin tuotteissa kriittisiä hyväksikäytettyjä haavoittuvuuksia | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Ivantin tuotteissa kriittisiä hyväksikäytettyjä haavoittuvuuksia

10. tammikuuta 2024 klo 22.21, päivitetty 9. helmikuuta 2024 klo 14.32

PÄIVITYS 31.1.2024: Ivanti julkaisi kaksi uutta haavoittuvuutta Ivanti Connect Secure (tunnettiin aikaisemmin nimellä Pulse Secure) sekä Ivanti Policy Secure -tuotteissaan. Toista 31.1. julkaistua haavoittuvuutta on jo hyväksikäytetty. Lukuisten kotimaisten organisaatioiden on syytä reagoida haavoittuvuuksiin välittömästi.

PÄIVITYS 9.2. 

Ivanti julkaisi jälleen uuden haavoittuvuuden Ivanti Connect Secure, Ivanti Policy Secure ja ZTA gateway -tuotteisiinsa. 
Haavoittuvuus CVE-2024-22024 on kuitenkin jo korjattu 30.1. julkaistuilla päivityksillä ja sitä ei toistaiseksi ole havaittu käytettävän hyväksi. Organisaatioiden on suositeltavaa päivittää tuotteensa uusimmilla päivityksillä. 


PÄIVITYS 31.1.2024

Ivanti julkaisi korjaavia päivityksiä saataville. Ivanti julkaisi 31.1. myös kaksi uutta haavoittuvuutta, joista toinen (CVE-2024-21893) on ollut jo hyväksikäytön kohteena. Ivanti julkaisi samalla korjaavia toimenpiteitä versioille, joille korjaavat päivitykset eivät ole vielä saatavilla. Koska uutta tänään julkaistua haavoittuvuutta CVE-2024-21893 on jo havaittu hyväksikäytettävän, on kyseisiä Ivanti-tuotteita käyttävien organisaatioiden reagoitava haavoittuvuuksien korjaamiseen välittömästi. 

CVE-2024-21888 (CVSS 8.8) mahdollistaa käyttäjätunnuksien korottamisen pääkäyttäjäksi.
CVE-2024-21893 (CVSS 8.2) mahdollistaa kirjautumisen ohittamisen ilman tunnistautumista.

Päivitykset saatavilla seuraaviin 31.1.2024: 
Ivanti Connect Secure (versiot 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1) ja ZTA versio 22.6R1.3.

-Ivanti suosittelee laitteiden uudelleen asennusta (factory reset). Ivanti kertoo tämän vievän jopa 3-4 tuntia.
-Korjauspäivitysten asentamista
-Laitteessa käytettyjen salasanojen ja muiden tunnisteiden vaihtoa. Tällä tarkoitetaan esimerkiksi salasanoja, sertifikaatteja ja API-avaimia.

Kyberturvallisuuskeskus suosittelee organisaatioita lukemaan ajatuksella Ivantin artikkelin ennen päivitys- tai korjausprosessin aloittamista.

Aiempi tiedote 10.1.2024:

Ivanti Connect Secure (entinen Pulse Secure) sekä Ivanti Policy Secure -tuotteista on havaittu kaksi haavoittuvuutta. Haavoittuvuudet koskevat ohjelmistojen kaikkia tuettuja versioita. Haavoittuvuudet ketjutettuna mahdollistavat hyökkääjälle pääsyn palvelimelle ilman tunnistautumista. Tämän jälkeen hyökkääjän on mahdollista suorittaa komentoja kohteena olevassa järjestelmässä. Haavoittuvuuksia korjaavia ohjelmistopäivityksiä ei toistaiseksi ole saatavilla. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvia palvelimia on Suomessa satoja. Kotimaiset organisaatiot käyttävät esimerkiksi Ivantin suosittua VPN-ratkaisua Connect Securea (entinen Pulse Secure).

Ivanti julkaisi (ulkoinen linkki) haavoittuvuuksien hyväksikäyttöä estävät pikakorjaukset organisaatioiden käyttöön. Valmistajalta on saatavilla työkalu (ulkoinen linkki), jonka avulla voi havaita mahdollisen järjestelmään murtautumisen. Hyväksikäytön voi havaita myös sisäisen tarkastusohjelman lokitietojen avulla.

CVE-2023-46805 (CVSS 8.2) tunnistautumisen ohittamisen mahdollistava haavoittuvuus.
CVE-2024-21887 (CVSS 9.1) komentojen mielivaltaisen suorittamisen mahdollistava haavoittuvuus.

Tietoturvayhtiö Volexity kertoo blogissaan (ulkoinen linkki) haavoittuvuuksien hyväksikäytöstä. Ongelman rajoittamiseen julkaistut Ivantin toimenpiteet eivät kuitenkaan korjaa tai estä jo murrettun palvelimen hyväksikäyttöä. Volexity suosittelee organisaatioita tutkimaan palvelimet mahdollisten tietomurtojen osalta. Haavoittuvuuksien hyväksikäyttöä on havaittu joulukuun 2023 alkupuolelta lähtien. Volexity uskoo, että haavoittuvuuden hyväksikäytön takana on valtiollinen toimija. 

Ivantin arvion mukaan korjaavat päivitykset tulevat saataville viikkojen 4-8 aikana (22.1. ja 19.2. alkavat viikot).
Haavoittuvuudet koskevat organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa.

 

Haavoittuvuuden kohde

Kaikki tuetut versiot eli versiot 9.x - 22.x

Mistä on kysymys?

UUTTA 31.1.2024
Ivanti on julkaissut korjaavia päivityksiä saataville.

Ivanti tarjoaa haavoittuvuuden hyväksikäytön rajoittavia toimenpiteitä sivuillaan (ulkoinen linkki), ennen kuin korjaavat päivitykset on julkaistu.

Mitä voin tehdä?

Ivantin arvion mukaan loputkin korjaavat päivitykset tulevat saataville lähiaikoina.

Volexityn artikkeli
Ivantin blogikirjoitus
Ivantin artikkeli
Ivantin kirjoitus tutkintatyökalusta
Ivantin haavoittuvuus CVE-2024-22024

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

31. tammikuuta 2024 klo 12.41 Korjattu tiedotetta uusilla tiedoilla 31.1.2024