Utnyttelse av sårbarhetene krever ingen autentisering og lar en angriper ta over systemet. Sårbarheten kan ha vært utnyttet så tidlig som 3. desember 2023 eller før, av en avansert trusselaktør.

Sikkerhetsoppdateringer er ikke tilgjengelige:

  • Virksomheter bør derfor umiddelbart implementere Ivantis workaround [2].
  • Dersom dette ikke lar seg gjøre, bør sårbare instanser tas av nett.
  • Deretter bør virksomheter avkrefte kompromittering ved hjelp av råd fra Ivanti [2] og Volexity [1], fortrinnsvis ved å kjøre en ekstern integritetssjekk som beskrevet [3][1].

NSM NCSC anbefaler virksomheter med behov for bistand å engasjere NSMs kvalitetsordning for hendelseshåndtering [4] og kontakte sitt sektorvise responsmiljø.

NSM NCSC forventer at sårbarhetene kommer til å bli brukt av løsepengeaktører og andre aktører i nær fremtid.

Referanser:  

[1] https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
[2] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
[3] https://forums.ivanti.com/s/article/KB44755
[4] https://nsm.no/kvalitetsordning