Punti Chiave
- Ivanti ha rilasciato un Integrity Checker Tool esterno aggiornato che crea snapshot non crittografati di tutti i file dell’appliance, consentendo ai clienti di rilevare modifiche ai file senza l’assistenza del supporto.
- I clienti che hanno applicato le patch ed eseguito un ripristino delle impostazioni di fabbrica dell’hardware, oppure che hanno distribuito una nuova build dell’appliance virtuale, devono eseguire sia l’ICT interno sia l’ICT esterno aggiornato, mantenendo il monitoraggio continuo.
- Le appliance virtuali che non sono state ripristinate devono installare una nuova build anziché utilizzare un ripristino delle impostazioni di fabbrica.
- Non sono state osservate nuove CVE né persistenza riuscita. La tecnica basata su laboratorio di CISA non è efficace negli ambienti in produzione e l’ICT resta un efficace strumento di rilevamento complementare.
Aggiornato per includere informazioni relative all’avviso del 29 febbraio di CISA, che comprende risultati tecnici osservati nel laboratorio di CISA, non riscontrati in scenari reali né ritenuti possibili in un ambiente cliente in produzione. CISA e le altre agenzie governative raccomandano ai team di difesa di eseguire l’Integrity Checker Tool (ICT) esterno aggiornato di Ivanti, rilasciato il 27 febbraio.
Nell’ambito della nostra indagine approfondita sul recente attacco contro i nostri clienti, Ivanti e Mandiant hanno pubblicato oggi i risultati relativi all’evoluzione di tattiche, tecniche e procedure (TTP) degli attori delle minacce. Questi risultati sono stati individuati nell’analisi in corso delle vulnerabilità precedentemente divulgate che interessano Ivanti Connect Secure, Policy Secure e i gateway ZTA, e includono potenziali tecniche di persistenza che stiamo monitorando, sebbene finora non siano state implementate con successo in scenari reali.
È importante sottolineare che non si tratta di una nuova CVE, e noi e i nostri partner governativi e di sicurezza non siamo a conoscenza di alcun caso di persistenza riuscita da parte di attori delle minacce dopo l’implementazione degli aggiornamenti di sicurezza e dei ripristini delle impostazioni di fabbrica. Tuttavia, data la natura aggressiva dell’attacco, stiamo fornendo ai clienti informazioni pertinenti affinché possano adottare misure per monitorare e proteggersi ulteriormente da questa minaccia altamente sofisticata.
Ivanti sta rilasciando un nuovo miglioramento dell’Integrity Checker Tool (ICT) esterno, che offre ulteriore visibilità sull’appliance di un cliente e su tutti i file presenti nel sistema. L’ICT esterno avanzato non richiederà più l’intervento del supporto per decrittografare gli snapshot del cliente. Quando vengono rilevati file nuovi e/o modificati, l’ICT esterno fornirà ora ai clienti uno snapshot non crittografato per la loro revisione. Le indicazioni per la visualizzazione dei contenuti degli snapshot sono disponibili in questo articolo della Knowledge Base (accesso richiesto) e il riferimento per l’interpretazione degli snapshot è disponibile in questo articolo. Ricordiamo che l’ICT è uno snapshot in un dato momento dei file presenti sul dispositivo. È in grado di rilevare modifiche in questi binari per evidenziare indicatori di compromissione. Rappresenta un ulteriore livello di sicurezza per i nostri clienti e deve sempre essere utilizzato insieme a strumenti di monitoraggio continuo.
Ivanti ha inoltre aggiornato le proprie raccomandazioni per le appliance virtuali nell’articolo della Knowledge Base. Queste nuove istruzioni si applicano solo ai clienti che utilizzano appliance virtuali e che in precedenza non hanno completato con successo un ripristino delle impostazioni di fabbrica, oppure non hanno distribuito una nuova build e applicato la patch alla propria appliance.
Ivanti raccomanda ai clienti di intraprendere le seguenti azioni:
- Per i clienti che hanno già completato con successo un ripristino delle impostazioni di fabbrica e applicato la patch alle proprie appliance, l’unica azione richiesta è continuare a eseguire l’ICT interno e l’ICT esterno aggiornato, insieme al monitoraggio continuo, che deve essere aggiornato per riflettere queste tecniche in evoluzione.
- Per i clienti che utilizzano appliance virtuali e che non hanno completato un ripristino delle impostazioni di fabbrica, oppure non hanno distribuito una nuova build e applicato la patch alla propria appliance, Ivanti raccomanda ora di distribuire una nuova build di Ivanti Connect Secure, anziché eseguire un ripristino delle impostazioni di fabbrica. Il motivo è che i ripristini delle impostazioni di fabbrica delle appliance virtuali non hanno avuto un esito costantemente positivo; pertanto abbiamo aggiornato le istruzioni consigliate.
- Anche in questo caso, se in precedenza avete seguito le istruzioni di Ivanti e avete ottenuto una scansione ICT pulita, non è necessario completare ulteriori ripristini delle impostazioni di fabbrica né distribuire una nuova build (per le appliance virtuali).
I clienti possono accedere alle informazioni di remediation più aggiornate in questo blog e nell’articolo della Knowledge Base, nel blog con le FAQ e nell’articolo della Knowledge Base sul ripristino. Continueremo ad aggiornare attivamente questi documenti non appena saranno disponibili nuove informazioni.
Se un cliente riscontra problemi durante la remediation delle vulnerabilità precedentemente divulgate, il nostro team di supporto resta a disposizione per fornire assistenza.
I clienti Ivanti dovrebbero consultare il blog pubblicato da Mandiant che descrive ulteriori TTP e osservazioni relative al tentativo non riuscito, da loro osservato, di ottenere persistenza tramite ripristino delle impostazioni di fabbrica.
Aggiornamento: CISA e altre agenzie governative hanno pubblicato un avviso congiunto il 29 febbraio che raccoglie ricerche precedenti, compresi i risultati pubblicati da Ivanti e Mandiant il 27 febbraio e una potenziale tecnica di persistenza sviluppata nel laboratorio tecnico di CISA. È importante notare che questo risultato basato su laboratorio non è stato osservato da CISA, Ivanti o Mandiant in scenari reali e, sulla base delle prove presentate e di ulteriori analisi condotte dal nostro team, riteniamo che, se un attore della minaccia tentasse di eseguirlo da remoto, perderebbe la connessione a Ivanti Connect Secure e non otterrebbe persistenza in un ambiente cliente in produzione. Inoltre, i clienti che hanno applicato la patch ed eseguito con successo un ripristino delle impostazioni di fabbrica (hardware) o distribuito una nuova build (virtuale) non sarebbero a rischio per l’attività descritta nel rapporto di CISA.
Ivanti, Mandiant e CISA hanno raccomandato di utilizzare l’ICT esterno aggiornato per contribuire a rilevare vettori di attacco noti e individuare file aggiuntivi o modificati. Come Ivanti ha sottolineato, si tratta di uno strumento di sicurezza utile e informativo nel vostro arsenale, a integrazione di altri strumenti di sicurezza e monitoraggio. La nostra raccomandazione resta di utilizzare l’ICT aggiornato insieme al monitoraggio continuo.
Continuiamo a esaminare con la massima attenzione i rischi e l’evoluzione delle tecniche degli attori delle minacce. Quando emergeranno nuovi risultati, lavoreremo rapidamente per fornire informazioni nel migliore interesse dei nostri clienti e rilasciare correzioni o migliorare il nostro ICT, se opportuno. A tal fine, restiamo attivamente impegnati con i nostri partner governativi e di sicurezza.
Prendiamo molto seriamente la sicurezza dei nostri clienti e ci impegniamo ad applicare processi e protocolli di sicurezza avanzati affinché i nostri prodotti restino sicuri di fronte alle minacce sempre più aggressive che interessano i nostri clienti e i loro settori.
FAQ principali
I clienti devono intraprendere qualche azione a seguito degli avvisi del 27 febbraio e del 29 febbraio?
Per i clienti che hanno già completato con successo un ripristino delle impostazioni di fabbrica (hardware) o distribuito una nuova build (virtuale) e applicato la patch alle proprie appliance, l’unica azione richiesta è continuare a seguire le indicazioni di Ivanti e Mandiant per eseguire l’ICT interno e l’ICT esterno aggiornato, insieme al monitoraggio continuo, che deve essere aggiornato per riflettere queste tecniche in evoluzione.
Ivanti e i nostri partner di sicurezza non sono a conoscenza di alcun caso di persistenza riuscita da parte di attori delle minacce dopo l’implementazione degli aggiornamenti di sicurezza e dei ripristini delle impostazioni di fabbrica (hardware)/della nuova build (virtuale) raccomandati da Ivanti.
I clienti che non hanno ancora applicato la patch devono seguire immediatamente le istruzioni fornite nell’articolo della Knowledge Base.
Anche in questo caso, se in precedenza avete seguito le istruzioni di Ivanti e continuate ad avere una scansione ICT pulita, non è necessario completare ulteriori ripristini delle impostazioni di fabbrica né distribuire una nuova build (per le appliance virtuali).
L’Integrity Checker Tool è uno strumento efficace per i clienti?
Sì, Ivanti, Mandiant e CISA hanno raccomandato l’utilizzo dell’ICT esterno aggiornato, che aiuta a rilevare vettori di attacco noti e file modificati e aggiuntivi, e deve essere utilizzato insieme al monitoraggio continuo. L’ICT è efficace nel determinare se è stato lasciato qualcosa di dannoso in base a vettori di attacco noti.
Come Ivanti ha sottolineato, l’ICT è uno strumento di sicurezza importante e informativo nel vostro arsenale, da utilizzare insieme ad altri strumenti. Il monitoraggio continuo resta importante per rilevare potenziali minacce, poiché l’ICT è progettato intenzionalmente come uno snapshot dello stato corrente dell’appliance e non è necessariamente in grado di rilevare l’attività di un attore della minaccia se l’appliance è stata riportata a uno stato pulito. È opportuno utilizzare altri strumenti di sicurezza per monitorare le modifiche effettuate tra una scansione e l’altra, nonché malware e altri indicatori di compromissione (IoC).
L’ICT è progettato per concentrarsi specificamente sulle attività di minaccia note che vengono impiegate dagli attori delle minacce in scenari reali. Ciò massimizza i risultati significativi per i clienti e riduce al minimo i falsi positivi; Mandiant lo ha convalidato nel proprio blog come strumento efficace. Altri strumenti standard di monitoraggio della sicurezza sono progettati per rilevare altre attività.
Esiste una nuova vulnerabilità o compromissione che non era stata precedentemente divulgata?
No, non c’è una nuova CVE. Ivanti e i nostri partner governativi e di sicurezza non sono a conoscenza di alcun caso di persistenza riuscita da parte di attori delle minacce dopo l’implementazione degli aggiornamenti di sicurezza e dei ripristini delle impostazioni di fabbrica.
La nuova attività descritta da Ivanti, Mandiant e CISA riguarda limitati tentativi osservati di mantenere la persistenza tramite ripristino delle impostazioni di fabbrica, che non hanno avuto successo, e una potenziale tecnica basata su laboratorio sviluppata da CISA che, secondo CISA, potrebbe essere utilizzata per tentare la persistenza. Nessuna di queste è stata utilizzata con successo in scenari reali.
È importante notare che, sulla base delle prove presentate e di ulteriori analisi condotte dal nostro team, riteniamo che la tecnica identificata da CISA nel suo laboratorio tecnico non consentirebbe a un attore della minaccia di ottenere con successo una persistenza non rilevata in un ambiente cliente in produzione.
Perché Ivanti ha concluso che la tecnica identificata da CISA nel suo laboratorio tecnico non potrebbe consentire una persistenza riuscita in un ambiente cliente in produzione?
Ivanti e i suoi esperti di sicurezza esterni hanno valutato i risultati tecnici di CISA e stabilito che, se tale tecnica fosse distribuita in un ambiente cliente reale non aggiornato con patch, la connessione a Ivanti Connect Secure verrebbe persa e quindi non potrebbe essere eseguita da remoto. Riteniamo pertanto che questo rischio di persistenza non sia valido in una distribuzione cliente effettiva.
Se la persistenza non ha avuto successo, perché Ivanti e Mandiant hanno pubblicato queste informazioni?
Il 27 febbraio abbiamo pubblicato informazioni pertinenti relative all’evoluzione delle tecniche degli attori delle minacce che stiamo monitorando, affinché i team di difesa possano adottare misure per proteggersi ulteriormente da un attacco altamente sofisticato e aggressivo. I clienti possono integrare queste informazioni nel proprio monitoraggio continuo, sebbene finora tali tecniche non siano state implementate con successo in scenari reali.
Ci impegniamo a fornire informazioni e strumenti per garantire la protezione dei nostri clienti e, a tal fine, restiamo inoltre in contatto con i nostri partner governativi e di sicurezza.
CISA raccomanda ai clienti Ivanti di scollegare le proprie macchine?
CISA non ha mai indicato alle organizzazioni di rimuovere permanentemente i sistemi Ivanti dalla produzione. La direttiva originale di CISA alle agenzie federali è stata interpretata in modo errato dai media, che hanno riferito solo il primo passaggio delle istruzioni. CISA ha aggiornato la propria direttiva per correggere questo punto e successivamente l’ha aggiornata di nuovo il 9 febbraio per chiarire in modo assoluto che il prodotto può essere riattivato dopo l’applicazione della patch.
L’avviso del 29 febbraio di CISA raccoglie ricerche precedenti, oltre a una tecnica basata su laboratorio che, secondo CISA, potrebbe essere utilizzata per tentare la persistenza, e invita i clienti a essere consapevoli dei rischi. È importante notare che non riteniamo che l’attività descritta nel rapporto di CISA possa essere eseguita da remoto.
Perché il prodotto Ivanti Connect Secure contiene versioni precedenti di pacchetti open source?
L’hardware per la versione 9.x del prodotto non dispone di una CPU sufficiente per eseguire un kernel Linux più recente e, di conseguenza, le limitazioni del kernel richiedono l’utilizzo di pacchetti open source precedenti. Il prodotto non è vulnerabile a questi pacchetti open source precedenti, poiché abbiamo eseguito il backport delle correzioni di sicurezza. Nel caso del rapporto di CISA, il numero di versione non rappresenta un’indicazione reale del pacchetto binario né della sua eventuale vulnerabilità, poiché il backport delle correzioni di sicurezza non modifica il numero di versione del pacchetto binario.
Tutte le versioni supportate di Ivanti Connect Secure sono certificate da The National Information Assurance Partnership (NIAP) e lo sono da circa 20 anni. Si tratta di una convalida del fatto che i prodotti soddisfano i requisiti di sicurezza per l’approvvigionamento dei sistemi di sicurezza nazionale degli Stati Uniti.
La versione 22.x più recente di Ivanti Connect Secure è basata su un nuovo kernel Linux che richiede una CPU più potente; per questo motivo abbiamo introdotto una nuova piattaforma, ISA, che non contiene le versioni precedenti dei pacchetti open source ed è in grado di supportare ulteriori miglioramenti della sicurezza.
Abbiamo rilasciato ufficialmente una notifica di End-of-Life per il prodotto hardware e software 9.x a luglio 2022. Stiamo collaborando attivamente con i nostri clienti per aggiornare le loro appliance alla versione 22.x o migrare al cloud con Ivanti Neurons for Zero Trust Access.
Tutto il codice presente nei prodotti Ivanti, incluso il codice open source precedente della versione 9.x, è chiaramente indicato nelle nostre attribuzioni e negli SBOM, disponibili nella documentazione del prodotto disponibile su ivanti.com.
Potete leggere le risposte a tutte le domande più frequenti qui.