Nuova falla critica in Ivanti Connect Secure: come proteggersi

Nuova falla critica in Ivanti Connect Secure: come proteggersi

Comprendere il problema in termini semplici

Ivanti, un fornitore leader di soluzioni di accesso remoto e sicurezza di rete, ha recentemente divulgato diverse vulnerabilità critiche che interessano i suoi prodotti VPN. Se la vostra organizzazione utilizza Ivanti Connect Secure, Policy Secure o le soluzioni ZTA Gateway, è fondamentale agire immediatamente. La buona notizia è che Ivanti ha rilasciato patch di sicurezza per risolvere questi problemi. La soluzione rapida consiste nell’aggiornare i vostri sistemi alle versioni più recenti disponibili il prima possibile.

Quali prodotti sono interessati?

Le vulnerabilità critiche colpiscono i seguenti prodotti Ivanti:

  • Ivanti Connect Secure (versioni precedenti alla 22.7R2.5)
  • Ivanti Policy Secure (versioni precedenti alla 22.7R1.2)
  • Ivanti Neurons per gateway ZTA (versioni precedenti alla 22.7R2.3)
  • Pulse Connect Secure

Se gestite uno di questi sistemi, dovreste verificare immediatamente quale versione avete installato e procedere con l’aggiornamento se necessario.

Le vulnerabilità principali

Due vulnerabilità critiche rappresentano il rischio maggiore:

CVE-2025-0282

Questa è la falla più grave, con un punteggio CVSS di 9.0. Si tratta di un buffer overflow che consente a un attaccante non autenticato di eseguire codice arbitrario sui sistemi vulnerabili. Questo significa che un malintenzionato potrebbe potenzialmente prendere il controllo completo del vostro sistema VPN senza nemmeno possedere credenziali di accesso.

CVE-2025-22457

Un’altra vulnerabilità critica di buffer overflow con punteggio CVSS 9.0, attivamente sfruttata da metà marzo 2025. Anche questa consente l’esecuzione remota di codice non autenticato e rappresenta una minaccia immediata per le organizzazioni non aggiornate.

Quali rischi comportano queste falle?

Se sfruttate, queste vulnerabilità permettono agli attaccanti di:

  • Eseguire codice arbitrario sui vostri sistemi VPN
  • Ottenere privilegi elevati e controllo completo delle risorse compromesse
  • Accedere ai dati sensibili archiviati nei sistemi
  • Installare backdoor e malware per mantenere l’accesso nel tempo
  • Rubare credenziali degli utenti che si collegano alla VPN
  • Effettuare movimento laterale nella vostra rete interna

Le prove indicano che attori minacciosi supportati da stati nazionali stanno già sfruttando attivamente queste vulnerabilità, distribuendo malware sofisticati e installando strumenti per il furto di credenziali.

Passaggi immediati da intraprendere

1. Verificare le versioni installate

Accedete ai vostri sistemi Ivanti e identificate quale versione state utilizzando. Potete trovare questa informazione nel pannello di amministrazione o nella documentazione di sistema.

2. Applicare gli aggiornamenti

Ivanti ha rilasciato le seguenti versioni patched:

  • Ivanti Connect Secure: aggiornare alla versione 22.7R2.5 o successiva
  • Ivanti Policy Secure: aggiornare alla versione 22.7R1.2 o successiva
  • Ivanti Neurons per ZTA: aggiornare alla versione 22.7R2.3 o successiva

Downloadate i patch dal sito ufficiale di Ivanti e applicate gli aggiornamenti secondo le procedure consigliate dal fornitore.

3. Monitorare i vostri sistemi

Dopo l’aggiornamento, monitorate i log dei vostri sistemi VPN per rilevare eventuali segni di compromissione. Cercate:

  • Accessi non autorizzati
  • Creazione di nuovi account utente
  • Modifiche ai file di configurazione
  • Attività di rete insolita

4. Cambiare le credenziali

Data la natura di questi attacchi, è consigliabile cambiare tutte le credenziali associate ai vostri sistemi Ivanti, incluse le password di amministrazione e gli account di servizio.

5. Contattare la sicurezza IT

Se non siete sicuri del vostro stato di aggiornamento o avete dubbi sulla configurazione, contattate il vostro team di sicurezza IT o un consulente di cybersecurity specializzato.

Cosa hanno fatto gli attaccanti?

Le indagini sulla sfruttamento di queste vulnerabilità hanno rivelato un modello di attacco sofisticato:

Fase iniziale: Gli attaccanti hanno sfruttato le vulnerabilità per ottenere accesso iniziale ai sistemi VPN, bypassando completamente i meccanismi di autenticazione.

Ricognizione: Una volta dentro, hanno effettuato una ricognizione approfondita dei sistemi interni e delle applicazioni collegate, utilizzando connessioni proxy per rimanere nascosti.

Furto di credenziali: Hanno iniettato malware personalizzato basato su JavaScript, chiamato WARPWIRE, nelle pagine di accesso per catturare le credenziali degli utenti in testo in chiaro.

Persistenza e movimento laterale: Hanno installato backdoor nei file di configurazione e distribuito strumenti aggiuntivi per mantenere l’accesso e muoversi lateralmente attraverso la rete.

Offuscamento: Hanno utilizzato strumenti come SPAWNSLOTH per manomettere i log e eludere il rilevamento.

Importanza della tempestività

Queste vulnerabilità sono state scoperte in sfruttamento attivo, il che significa che gli attaccanti stanno già tentando di compromettere i sistemi vulnerabili. Non c’è tempo da perdere. Ogni giorno che passa senza applicare le patch aumenta il rischio che la vostra organizzazione possa essere compromessa.

Considerazioni di sicurezza più ampie

Questi incidenti evidenziano l’importanza di:

  • Applicare le patch tempestivamente: I sistemi di accesso remoto sono bersagli prioritari per gli attaccanti
  • Monitorare gli avvisi di sicurezza: Rimanete aggiornati sulle vulnerabilità che interessano i vostri sistemi
  • Implementare una strategia di difesa in profondità: Non affidate la sicurezza a un singolo prodotto
  • Testare i backup: Assicuratevi di poter ripristinare i sistemi in caso di compromissione
  • Formare gli utenti: Educate il vostro personale sui rischi di sicurezza e sulle migliori pratiche

Technical Deep Dive

Dettagli tecnici delle vulnerabilità

CVE-2025-0282 è un buffer overflow che si verifica quando il buffer è una variabile locale di una funzione. La vulnerabilità deriva da una validazione errata degli input, che consente agli aggressori di eseguire codice arbitrario. Il vettore di attacco è remoto e non richiede autenticazione, rendendolo particolarmente pericoloso.

CVE-2025-22457, scoperta successivamente, è anch’essa un buffer overflow con caratteristiche simili. Inizialmente era stata classificata come un problema di basso rischio a causa del suo set di caratteri limitato (punti e numeri), ma ulteriori ricerche hanno rivelato il suo potenziale critico.

Malware associato

Gli attaccanti hanno distribuito diverse famiglie di malware:

  • Trailblaze: Un dropper in memoria che scarica payload aggiuntivi
  • Brushfire: Una backdoor passiva per il controllo remoto persistente
  • Suite Spawn: Strumenti dedicati al furto di credenziali e al movimento laterale
  • WARPWIRE: Malware basato su JavaScript iniettato nelle pagine di login
  • PHASEJAM: Malware che blocca gli aggiornamenti legittimi per mantenere la persistenza

Indicatori di compromissione

I team di sicurezza dovrebbero cercare:

  • Web shell: Comunemente denominati PHASEJAM, installati nei file di configurazione
  • Modifiche ai file di configurazione: Inclusa la creazione di account backdoor
  • Connessioni di rete insolite: Specialmente verso indirizzi IP di comando e controllo
  • Processi non autorizzati: In esecuzione con privilegi elevati
  • Alterazioni dei log: Segni di tentativi di coprire le tracce

Raccomandazioni per gli amministratori

Oltre all’applicazione delle patch, gli amministratori dovrebbero considerare:

  • Segmentazione di rete: Isolate i sistemi VPN su una VLAN dedicata
  • Monitoraggio del traffico: Implementate IDS/IPS per rilevare attività sospette
  • Analisi forense: Se sospettate una compromissione, eseguite un’indagine approfondita
  • Audit di sicurezza: Verificate la configurazione dei vostri sistemi Ivanti
  • Implementazione di MFA: Aggiungete ulteriori livelli di autenticazione
  • Registrazione e monitoraggio: Abilitate la registrazione dettagliata e monitorate i log in tempo reale

Conformità normativa

Le vulnerabilità critiche in sistemi di accesso remoto hanno implicazioni significative per la conformità normativa. La legge dell’UE sulla ciberresilienza (CRA), una volta in vigore, imporrà ai produttori di seguire principi di sicurezza fin dalla progettazione. Le soluzioni VPN saranno soggette a rigorosi requisiti di valutazione della conformità e i produttori dovranno riparare le vulnerabilità senza indugio.

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto