في نهاية عام 2023 وحتى عام 2024، ستظهر سلسلة من الثغرات الأمنية في إيفانتي سياسة آمنة التحكم في الوصول إلى الشبكة (NAC)، إيفانتي كونيكت الآمنة شبكة خاصة افتراضية ذات طبقة مقابس آمنة (SSL VPN)، وIvanti Neurons لـ الوصول إلى الثقة المعدومة تسببت منتجات (ZTA) في إثارة قلق المنظمات في جميع أنحاء العالم بعد أن تم استغلالها من قبل جهة تهديد يشتبه في أن لها صلات بنشاط تجسس على مستوى الدولة.
في هذا الشرح، نستكشف بعض المشكلات الرئيسية الناشئة عن إفصاحات Ivanti، وننظر إلى نقاط الضعف وتأثيرها، وكيف استجابت Ivanti، وما يجب على المستخدمين المتأثرين فعله بعد ذلك، وما إذا كان من الآمن الاستمرار في استخدام منتجات Ivanti.
ماذا تفعل إيفانتي؟
تتخصص شركة Ivanti التي يقع مقرها الرئيسي في ولاية يوتا في برامج الأمان وخدمات تكنولوجيا المعلومات وبرامج إدارة الأصول وبرامج إدارة الهوية وبرامج إدارة سلسلة التوريد.
يعود تاريخها إلى عام 1985 وتأسيس شركة تدعى LAN Systems. على مدى العقود الأربعة الماضية، نمت المنظمة من خلال سلسلة من عمليات الدمج والاستحواذ، ولكن اسم Ivanti لم يظهر إلى الوجود إلا في عام 2017 من خلال انضمام شركتين، خليفة LAN Systems LANDESK وHEAT Software، تحت إشراف دار الأسهم الخاصة. كليرليك كابيتال.
منذ عام 2017، نمت شركة Ivanti بشكل مطرد، ولديها الآن آلاف الموظفين في 23 دولة حول العالم. لقد اكتسبت بشكل كبير خلال جائحة كوفيد-19، حيث استحوذت على أسماء مثل MobileIron وPulse Secure وCherwell Software وRiskSense.
تتعامل شركة Ivanti مع مفهوم رفع وتأمين “العمل في كل مكان”، مما يتيح لموظفي العملاء استخدام أجهزتهم للوصول إلى تطبيقات وبيانات تكنولوجيا المعلومات كيفما وأينما يحتاجون. كما أصبحت أيضًا مُعلقًا متكررًا وصريحًا على القضايا الأمنية، وخبراؤها كذلك نقلت في كثير من الأحيان في مجال تكنولوجيا المعلومات ووسائل الإعلام والأمن السيبراني.
ما هي نقاط الضعف في إيفانتي؟
تؤثر هذه المشكلات فقط على بوابات Ivanti Connect Secure (ICS) وIvanti Policy Secure (IPS) وZTA ولا توجد في أي من منتجات Ivanti الأخرى.
أول نقطتي ضعف هما CVE-2023-46805 و CVE-2024-21887. الأول هو وجود خلل في تجاوز المصادقة في مكون الويب الخاص بـ ICS 9.2 و22.x وPolicy Secure، والذي يسمح للمهاجم عن بعد بالوصول إلى الموارد المقيدة عن طريق تجاوز عمليات التحقق من التحكم. والثاني هو وجود ثغرة أمنية في إدخال الأوامر في مكونات الويب لنفس المنتجات والتي تسمح للمسؤول المعتمد بإرسال طلبات مصممة خصيصًا وتنفيذ أوامر عشوائية.
هاتين المسألتين تم الكشف عنها رسميًا لأول مرة في 10 يناير 2024، بعد أن تم اكتشافها قبل شهر من قبل الباحثين في Volexity، الذين اكتشفوا حركة جانبية مشبوهة على شبكة العملاء وتمكنوا من تحديد الاستغلال النشط. توصلت شركة Volexity إلى أن جهة التهديد كانت تستخدمها لزرع أغلفة الويب، بما في ذلك Glasstoken وGiftedvisitor، على خوادم الويب الداخلية والخارجية، والتي استخدمتها بعد ذلك لتنفيذ الأوامر على الأجهزة المخترقة.
كان من الممكن أن تكون هذه مشكلة كبيرة في حد ذاتها، لكن الأمور تطورت بعد ذلك في اتجاه مثير للقلق. بعد توجيهات التخفيف الأولية من Ivanti، وجدت الجهات الفاعلة في مجال التهديد بسرعة طريقة للالتفاف حولها لنشر ثلاثة أنواع مختلفة من هياكل الويب، Bushwalk، وLightwire، وChainline.
وأدى ذلك إلى الكشف عن ثلاث نقاط ضعف جديدة. هذه كانت:
- CVE-2024-21893، ثغرة أمنية تزوير طلب من جانب الخادم في مكونات لغة ترميز تأكيد الأمان (SAML) لـ ICS وIPS وZTA التي تتيح للمهاجمين الوصول إلى الموارد المقيدة دون مصادقة؛
- CVE-2024-22024، ثغرة أمنية في لغة الترميز القابلة للتوسيع (XML) في مكون SAML الخاص بالمنتجات والتي لها نفس تأثير CVE-2024-21893؛
- و CVE-2024-21888، وهي ثغرة أمنية لتصعيد الامتيازات في مكون الويب الخاص بـ ICS وIPS، والتي تتيح للمهاجمين الحصول على حقوق المسؤول.
لماذا يتم استهداف إيفانتي؟
لقد تم استهداف منتجات SSL VPN مثل ICS تاريخيًا من قبل مجموعة واسعة من الجهات الفاعلة في مجال التهديد، سواء مجرمي الإنترنت ذوي الدوافع المالية أو المجموعات المتحالفة مع الدولة القومية، على مدى السنوات القليلة الماضية – مع وجود خطأ عمره خمس سنوات، CVE-2019- 11510 في ICS لا يزال يتم استغلاله حتى اليوم.
لما ذلك؟ الإجابة بسيطة نسبيًا: توفر شبكات SSL VPN مدخلاً ذا قيمة استثنائية إلى المؤسسات المستهدفة، حيث تعمل كنقطة انطلاق للوصول إلى موارد المؤسسة.
واستخدامها على نطاق واسع من قبل العاملين عن بعد، والذين هم عرضة بشكل خاص للاستغلال من خلال هجمات الهندسة الاجتماعية وغيرها من أشكال التصيد الاحتيالي، خاصة بعد انتشار جائحة كوفيد-19ويجعلهم هدفا سهلا.
على هذا النحو، يجب أن تكون معالجة نقاط الضعف في شبكات SSL VPN ومنتجات الوصول ذات الصلة قرارًا سهلاً لتحديد الأولويات لفرق الأمان.
كيف استجابت إيفانتي لنقاط الضعف؟
في الأسئلة الشائعة المحدثة حديثًا نشرت شركة Ivanti على موقعها على الإنترنت في 14 فبراير 2024، شكرت عملائها على “دعمهم وصبرهم” أثناء تعاملها مع المشكلات الأخيرة. وأقرت بأن هذه الفترة كانت بمثابة اختبار لعملائها، وطمأنتهم بأنها كانت تعمل على مدار الساعة، بمساعدة من خبرات خارجية، لحل المشكلات.
“منذ اليوم الأول، التزمنا باتباع نهج العميل أولاً. وقالت المنظمة: “لقد أعطينا الأولوية لإصدارات التخفيف والتصحيحات في أسرع وقت ممكن، مع الاستمرار أيضًا في تعزيز تدابيرنا الاستباقية لمكافحة بيئة التهديد المتزايدة التعقيد والعدوانية التي تواجهها صناعتنا”.
“بينما نعمل على دعم عملائنا، فقد سعينا جاهدين لوضع الاتصالات المستمرة والمباشرة في المقدمة. لقد أمضينا أيضًا وقتًا طويلاً في الاستماع ودمج التعليقات التي سمعناها لتحسين اتصالاتنا باستمرار.
اعتبارًا من منتصف شهر فبراير، كان لدى Ivanti إصدار آمن متاح لجميع الإصدارات المدعومة من المنتجات المتضررة.
وواصلت الأسئلة الشائعة معالجة بعض المعلومات الخاطئة التي نشأت بعد التفسير الخاطئ للتوجيه الصادر عن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، والذي اعتقد الكثيرون خطأً أنه يوجه الوكالات الفيدرالية التابعة للحكومة الأمريكية للتخلص من المنتجات المتضررة واستبدالها. لم يكن هذا هو الحال أبدًا، بل كان الأمر مجرد إخبارهم بفصل منتجاتهم، وقد فعلت CISA ذلك منذ ذلك الحين وصحح توجيهاته وحدثها.
كما نفى Ivanti أيضًا المزاعم القائلة بأن منتج Connect Secure كان عرضة للخطر بسبب كود Linux القديم، على الرغم من أنه كان يساعد العملاء على التخلص من الإصدارات القديمة غير المدعومة على مدار الـ 18 شهرًا الماضية.
ومضت لتضيف أنه ليس لديها ما يشير إلى أن إحدى المجموعة الثانية من الثغرات الأمنية – CVE-2024-22024 – قد تم استغلالها بشكل عشوائي، قائلة إنه قد يكون هناك بعض الارتباك في هذا الصدد لأنها موجودة في نفس القسم من الكود CVE-2024-21893.
وأكدت أيضًا أن نقاط الضعف التي تم الكشف عنها في 10 يناير قد تم استغلالها على نطاق محدود من قبل جهات التهديد، وأن هذا العدد قد زاد بشكل حاد.
وشددت أيضًا على أنه على الرغم من أنها تستخدم أدواتها وتقنياتها الخاصة داخل الشركة، إلا أنه ليس لديها ما يشير إلى تعرضها للخطر كشركة، وهو مؤشر على أن بيانات العملاء التي تحتفظ بها لا تزال آمنة.
ماذا يجب أن أفعل لمعالجة نقاط الضعف في Ivanti؟
يمكن العثور على إرشادات Ivanti الكاملة حول كيفية البدء في معالجة نقاط الضعف هنا. الإرشادات الواردة أدناه مشتقة من الاستشارة الأخيرة الصادرة عن CISA في 9 فبراير، والتي تتعلق رسميًا فقط بالوكالات الحكومية الفيدرالية في الولايات المتحدة.
اعتبارًا من 9 فبراير، تم إخبار المؤسسات المتضررة أولاً بفصل جميع مثيلات Ivanti Connect Secure و Ivanti Policy Secure، وعزلها عن أي موارد مؤسسية أخرى قدر الإمكان، وإجراء مطاردة للتهديدات على أي أنظمة متصلة بها. يجب على فرق الأمان أيضًا مراقبة أي خدمات مصادقة أو هوية قد تكون مكشوفة وتدقيق الحسابات ذات الوصول المميز.
لإعادة المنتجات المتأثرة مرة أخرى إلى مؤسسات الخدمات، نُصح في البداية بالقيام بما يلي:
- تصدير إعدادات التكوين الخاصة بك؛
- إعادة ضبط المصنع للمنتج, وفقًا لتعليمات إيفانتي – على الرغم من أن هذا قد تم بالفعل قبل تطبيق التصحيحات التي تم إصدارها في 31 يناير و1 فبراير، فلن تحتاج إلى القيام بذلك؛
- إعادة بناء المنتج – يمكن العثور على الإرشادات الخاصة بكيفية القيام بذلك على الرابط أعلاه – والترقية إلى إصدار برنامج مدعوم من خلال Ivanti، وهو مجاني؛
- إعادة استيراد التكوين الخاص بك؛
- إذا قمت بتطبيق أي ملفات XML للتخفيف، فيجب عليك مراجعة بوابة Ivanti للحصول على إرشادات حول كيفية إزالة هذه الترقية اللاحقة؛
- إبطال وإعادة إصدار الشهادات والمفاتيح وكلمات المرور المتصلة أو المكشوفة – يتضمن ذلك إعادة تعيين كلمات مرور تمكين المسؤول، وإعادة تعيين مفاتيح واجهة برمجة التطبيقات المخزنة (API)، وإعادة تعيين أي كلمات مرور تخص المستخدمين المحليين المحددين على البوابة. يجب أن تتضمن هذه الخطوة الأخيرة حسابات الخدمة المستخدمة لتكوين خادم المصادقة؛
- بعد إعادة المنتجات المتأثرة إلى الخدمة، احرص على متابعة التحديثات المستقبلية التي قد تعيد معالجة الثغرات الأمنية.
نصحت CISA أيضًا بأن المؤسسات التي تقوم بتشغيل منتجات Ivanti المتأثرة يجب أن تفترض أن حسابات المجال المرتبطة بها قد تم اختراقها، لذا يوصى بكلمات المرور مرتين للحسابات المحلية، وإلغاء أي تذاكر Kerberos، وإلغاء الرموز المميزة الأخرى للحسابات السحابية إذا كانت مؤسستك تقوم بتشغيل نشر مختلط .
ومع ذلك، فقد تطورت القصة الآن بشكل ملحوظ. في 29 فبراير، تحذير جديد من السلطات الأمريكية يوضح بالتفصيل كيف يمكن للجهات الفاعلة في مجال التهديد خداع أداة التحقق من النزاهة الداخلية والخارجية (ICT) الخاصة بشركة Ivanti، مما يؤدي إلى الفشل في اكتشاف التسوية عبر CVE-2023-46805، وCVE-2024-21887، وCVE- 2024-22024، وCVE-2024-21893.
قالت CISA إنها حددت هذه المشكلة خلال عمليات الاستجابة للحوادث المتعددة على مدار الأسابيع الماضية، وقد أثبتت الاختبارات المعملية صحة مخاوفها من أن جهة التهديد قد تكون قادرة على اكتساب استمرارية على مستوى الجذر بعد إجراء إعادة ضبط المصنع.
يعد هذا مصدر قلق كبير، وتنصح CISA الآن فرق الأمان بافتراض أن بيانات اعتماد المستخدم وحساب الخدمة المخزنة داخل الأجهزة المتأثرة من المحتمل أن تتعرض للاختراق، للبحث عن نشاط ضار على شبكاتهم باستخدام الأساليب وIoCs في الاستشارة المحدثة، وتطبيقها إرشادات التصحيح المقدمة من Ivanti مع نشر تحديثات الإصدار.
في حالة اكتشاف اختراق أو اختراق محتمل، يجب على فرق الأمان جمع وتحليل السجلات والمصنوعات بحثًا عن نشاط ضار، وتطبيق توصيات الاستجابة للحوادث ضمن الاستشارة.
هل يجب أن أقلق بشأن إيفانتي أو أتوقف عن استخدامه؟
ردًا على تحديثات 29 فبراير، ذكرت إيفانتي أن تقنية الثبات التي تم تحديدها لم يتم ملاحظتها بعد في البرية. ومع ذلك، فقد أصدرت تحسينًا جديدًا لأداة التحقق من التكامل الخارجية (ICT)، مما يوفر رؤية إضافية لأجهزة العملاء وجميع الملفات الموجودة على النظام. يمكن العثور على مزيد من المعلومات حول هذا هنا.
نظرًا لهذا الموقف، لا يمكننا أن نعلن بكل ثقة أن منتجات Ivanti المتأثرة آمنة للاستخدام. هذا هو القرار الذي يجب أن تكون فرق الأمن مستعدة لاتخاذه بعد اتباع جميع الإرشادات الحالية.
من المؤكد أن العملاء يتوقعون رؤية محاولات استغلال ضدهم، الآن وفي المستقبل، مما يجعل اتخاذ الإجراءات اللازمة أكثر أهمية.
من المهم ملاحظة أنه على الرغم من التزام شركة Ivanti بدعم عملائها وإيصال معلومات إضافية للمساعدة في الاستجابة للحوادث والتحقيق فيها إذا وجد العميل دليلاً على تعرضه للاختراق، إلا أنها في حد ذاتها لا تقدم خدمات إلكترونية جنائية ولا يمكنها التحقيق بشكل كامل في القضية نيابة عن العميل. يجب على العملاء المعرضين للخطر طلب التوجيه والدعم من مزود الطب الشرعي.
