Angripare utnyttjar aktivt en kritisk sårbarhet i Ivanti Sentry, vilket har lett till akuta varningar för organisationer som använder den företagsinriktade gatewayplattformen. Sårbarheten har den högsta möjliga allvarlighetsgraden och kan göra det möjligt för fjärrangripare att köra kod på sårbara system utan någon form av autentisering.
Upptäckten är den senaste i en rad säkerhetsutmaningar för organisationer med internetexponerad infrastruktur och visar hur snabbt hotaktörer numera börjar utnyttja nyupptäckta sårbarheter.
Angripare har redan inlett attacker
Säkerhetsforskare har bekräftat att angripare redan riktar in sig på sårbara Ivanti Sentry-installationer i verkliga attacker. Aktiviteten upptäcktes kort efter att information om sårbarheten blev offentlig, vilket följer ett mönster som blivit allt vanligare inom cybersäkerhetsområdet.
Moderna hotaktörer övervakar noggrant säkerhetsaviseringar och startar ofta automatiserade sökkampanjer inom några timmar efter att en sårbarhet offentliggjorts. När en kritisk brist blir känd blir exponerade system snabbt attraktiva mål.
Den snabba exploateringen av Ivanti-sårbarheten visar hur lite tid organisationer har på sig att agera innan angripare börjar leta efter sårbara enheter.
Sårbarheten kan ge full kontroll över system
Sårbarheten möjliggör fjärrkörning av kod utan autentisering på drabbade Ivanti Sentry-enheter. Om en attack lyckas kan angriparen få omfattande kontroll över systemet och skapa förutsättningar för ytterligare intrång.
Eftersom Sentry-installationer ofta finns vid kanten av företagsnätverk kan ett intrång ge angripare en värdefull ingångspunkt. Dessa system hanterar ofta autentisering, enhetskommunikation och åtkomst till verksamhetskritiska applikationer.
Den strategiska placeringen gör dem särskilt attraktiva för cyberkriminella och avancerade hotgrupper.
Edge-infrastruktur fortsätter att vara ett prioriterat mål
Teknik som används vid nätverkets gränsytor fortsätter att locka stort intresse från angripare. VPN-gateways, fjärråtkomstlösningar, autentiseringssystem och säkra kommunikationsplattformar är ofta högt prioriterade mål eftersom de kan ge direkt åtkomst till företagsmiljöer.
Ett intrång i dessa system kan göra det möjligt för angripare att kringgå flera traditionella säkerhetslager och etablera en närvaro innan försvararna upptäcker misstänkt aktivitet.
Säkerhetsforskare har vid upprepade tillfällen betonat att organisationer bör betrakta dessa system som kritiska tillgångar och prioritera säkerhetsuppdateringar så snart nya sårbarheter upptäcks.
De senaste attackerna mot Ivanti förstärker det budskapet.
Organisationer har mycket begränsad tid att agera
Tiden mellan att en sårbarhet offentliggörs och att den börjar utnyttjas blir allt kortare. I många fall har organisationer inte längre dagar eller veckor på sig att installera uppdateringar innan angripare börjar rikta in sig på exponerade system.
Den utvecklingen ökar pressen på säkerhetsteam att ha korrekta inventarier över sina tillgångar, följa säkerhetsaviseringar noggrant och snabbt installera uppdateringar när kritiska sårbarheter upptäcks.
Organisationer som använder Ivanti Sentry bör prioritera tillgängliga säkerhetsuppdateringar och granska sina system efter tecken på misstänkt aktivitet. Säkerhetsteam bör även analysera loggar och autentiseringshändelser för att upptäcka eventuella försök till exploatering.
Slutsats
De senaste attackerna mot Ivanti Sentry visar hur snabbt hotaktörer agerar när en kritisk sårbarhet blir offentlig. I stället för att vänta på att färdiga exploitverktyg ska spridas har angripare redan börjat rikta in sig på exponerade system. Kombinationen av aktiv exploatering, fjärrkörning av kod och Sentry-enheternas strategiska placering gör denna sårbarhet särskilt allvarlig. Organisationer som dröjer med att installera säkerhetsuppdateringar riskerar att möta angripare som redan har påbörjat jakten på sina nästa mål.
0 svar till ”Ivanti Sentry-attacker utnyttjar en sårbarhet med högsta allvarlighetsgrad”