CISA dan FBI hari ini memperingatkan bahwa penyerang masih mengeksploitasi kelemahan keamanan Ivanti Cloud Service Appliances (CSA) yang ditambal sejak September untuk menembus jaringan yang rentan.
Kerentanan yang dirantai dalam serangan ini termasuk CVE-2024-8963 (pintasan autentikasi admin ditambal pada bulan September) dan CVE-2024-8190 (bug eksekusi kode jarak jauh ditambal pada bulan yang sama). Dua bug lainnya, CVE-2024-9379 (injeksi SQL) dan CVE-2024-9380 (kerentanan eksekusi kode jarak jauh), keduanya ditangani pada bulan Oktober.
Keempat bug tersebut telah ditandai sebagai dieksploitasi dalam serangan zero-day sebelumnya. CISA menambahkannya ke dalamnya Katalog Kerentanan yang Dieksploitasi yang Diketahui dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan peralatan mereka seperti yang diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
Menurut CISA dan data respons insiden pihak ketiga yang tepercaya, pelaku ancaman merantai kerentanan yang terdaftar untuk mendapatkan akses awal, melakukan eksekusi kode jarak jauh (RCE), mendapatkan kredensial, dan menanamkan webshell pada jaringan korban. KITA. kata badan keamanan siber pada hari Rabu.
“Jalur eksploitasi utama para pelaku adalah dua rantai kerentanan. Satu rantai eksploitasi memanfaatkan CVE-2024-8963 bersama dengan CVE-2024-8190 dan CVE-2024-9380 dan rantai lainnya memanfaatkan CVE-2024-8963 dan CVE-2024-9379 . Dalam satu kompromi yang dikonfirmasi, para aktor berpindah secara lateral ke dua server.”
CISA dan FBI kini “sangat menganjurkan” semua administrator jaringan untuk meningkatkan peralatan mereka ke versi terbaru Ivanti CSA yang didukung untuk menggagalkan serangan berkelanjutan yang dapat menargetkan sistem mereka.
Mereka juga disarankan untuk “mencari” tanda-tanda aktivitas jahat di jaringan mereka menggunakan indikator kompromi (IOC) dan metode deteksi yang dibagikan dalam panduan tersebut.
“Kredensial dan data sensitif yang disimpan dalam peralatan Ivanti yang terkena dampak harus dianggap telah disusupi,” CISA dan FBI memperingatkan. “Organisasi harus mengumpulkan dan menganalisis log dan artefak untuk aktivitas jahat dan menerapkan rekomendasi respons insiden dalam nasihat ini.”
Aliran kerentanan yang dieksploitasi secara aktif ini datang sebagai Ivanti meningkat kemampuan pengujian dan pemindaian internal dan mengatakan pihaknya meningkatkan proses pengungkapan yang bertanggung jawab untuk menambal kelemahan keamanan dengan lebih cepat.
Beberapa kerentanan lainnya adalah dieksploitasi seperti yang terjadi pada tahun lalu dalam serangan yang meluas terhadap Ivanti yang rentan Peralatan VPN Dan Gerbang ICS, IPS, dan ZTA.
Selain itu, sejak awal tahun 2025, peralatan Ivanti Connect Secure VPN juga telah menjadi sasaran tersangka aktor spionase China-nexus (dilacak sebagai UNC5221) di serangan zero-day eksekusi kode jarak jauh yang menginfeksi mereka malware Dryhook dan Phasejam baru.
Daftar pelanggan Ivanti mencakup lebih dari 40.000 perusahaan di seluruh dunia yang menggunakan produknya untuk mengelola sistem dan aset TI.
