Ivanti atrasa cronograma de patch para corrigir dia zero em VPN

Atraso no cronograma de entrega de patches para falhas críticas — e já exploradas — nos dispositivos Connect Secure VPN amplia riscos às empresas
Da Redação
30/01/2024

A Ivanti está correndo para cumprir o cronograma prometido para a entrega de patches para vulnerabilidades críticas — e já exploradas — nos dispositivos Ivanti Connect Secure VPN voltados para a internet, conhecidos anteriormente como Pulse Secure. A empresa de software disse originalmente que começaria a enviar patches a partir do dia 22 deste mês, mas parece que problemas de qualidade levaram a atrasos.

Na sexta-feira, 26, a Ivanti reconheceu o prazo perdido em um comunicado atualizado que citava “a segurança e a qualidade de cada lançamento [de patch de software]”. “O lançamento direcionado de patches para versões suportadas está atrasado, esse atraso afeta todos os lançamentos de patches planejados subsequentes. Agora temos como meta na próxima semana lançar um patch para Ivanti Connect Secure (versões 9.1R17x, 9.1R18x, 22.4R2x e 22.5R1.1), Ivanti Policy Secure (versões 9.1R17x, 9.1R18x e 22.5R1x) e ZTA versão 22.6R1x ”, disse.

A empresa disse que os patches para versões suportadas ainda serão lançados em um cronograma escalonado e alertou que o momento do lançamento do patch ainda está sujeito a alterações.

Os atrasos nos patches ocorrem quase três semanas depois que pesquisadores da Volexity flagraram uma gangue de hackers apoiada pelo governo chinês explorando duas vulnerabilidades de dia zero em produto da empresa para invadir organizações dos EUA. Os pesquisadores da empresa de cibersegurança disseram que flagraram os invasores modificando componentes legítimos do ICS e fazendo alterações no sistema para escapar da ferramenta “Verificador de integridade” da Ivanti, além de uma backdoor de um arquivo CGI legítimo (compcheck.cgi) no dispositivo ICS VPN para permitir a execução de comandos.

Veja isso
Bug crítico em endpoint Ivanti permite sequestro de dispositivos
Ivanti aposta em zero trust comprando MobileIron e Pulse Secure

A ausência de soluções oficiais certamente complicará os prazos rigorosos estabelecidos pela Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA para que as agências do Poder Executivo apliquem as correções disponíveis, procurem infecções e compartilhem indicadores de comprometimento.

A diretriz de emergência da CISA havia estabelecido a data de 22 de janeiro para as agências federais começarem a implantar soluções. A agência também pediu a remoção de produtos comprometidos das redes e instruções para que as organizações infectadas apresentem um relatório à CISA com um inventário dos dispositivos infectados e detalhes sobre as ações tomadas.

De todo modo, a Ivanti lançou mitigações pré-patch e instruções para minimizar as superfícies de ataque. Para ter acesso às orientações clique aqui.

Compartilhar:

Últimas Notícias