Le agenzie federali americane hanno avuto tempo fino alla mezzanotte di venerdì scorso per scollegare tutti i dispositivi di Ivanti Connect Secure e Policy Secure, in base a nuova direttiva d’emergenza. Ivanti è un’azienda specializzata in software IT, nota per fornire soluzioni per la gestione e la sicurezza dei dispositivi, le infrastrutture IT, e l’assistenza e servizio ai clienti. La sua gamma di prodotti comprende soluzioni per la gestione unificata degli endpoint, la gestione dei servizi IT, la sicurezza delle informazioni e l’automazione dei processi aziendali.
Oggetto di questa news sono però le loro VPN (Virtual Private Network), che consentono connessioni protette col fine di offrire una navigazione sicura e meno soggetta ai rischi di intrusione e furto di dati sensibili. Purtroppo, però, sono state rilevate delle falle di sicurezza in due prodotti che consentirebbero agli hacker di bypassare i protocolli d’autenticazione e di navigare in remoto nelle reti delle vittime. Ovviamente gli hacker non si sono lasciati sfuggire un’occasione così ghiotta e l’hanno sfruttata.
La direttiva federale segna dunque una vistosa escalation rispetto agli avvertimenti governativi del mese scorso, che esortavano le agenzie ad applicare solamente i controlli standard per tenere gli hacker fuori dai loro sistemi. Dal momento della diffusione della notizia, Ivanti ha rilasciato una patch per alcune delle falle segnalate e ha condiviso i dettagli di due nuove vulnerabilità critiche in Connect Secure.
La U.S. Cybersecurity and Infrastructure Security Agency (in seguito, CISA) ha ordinato alle agenzie di scollegare i prodotti VPN con una guida aggiornata mercoledì scorso. In essa si legge che per riportare le VPN online, si richiede alle agenzie di completare un reset di fabbrica dei prodotti e aggiornare alle versioni software più recenti. Gli utenti devono poi reimpostare obbligatoriamente le proprie password.
Si tratta di un problema non di poco conto, dato che il CISA stima che circa 15 agenzie utilizzino prodotti Ivanti vulnerabili. Sebbene non sia ancora chiaro quali siano le agenzie in questione, alcune di esse sarebbero legate alla Difesa. La piattaforma di monitoraggio delle minacce Shadowserver stima che gli hacker abbiano avuto accesso a circa 390 dispositivi Ivanti a partire dallo scorso mercoledì. Si tratta di una falla di sicurezza importante, soprattutto se si considera che si parla di dispositivi utilizzati da agenzie governative.
