المزيد من جنون هجوم الوقود في Ivanti VPN Zero-Days مع ظهور التصحيحات أخيرًا

المزيد من جنون هجوم الوقود في Ivanti VPN Zero-Days مع ظهور التصحيحات أخيرًا

الطابع الزمني: 31 يناير 2024 3:25 مساءً
عقدة المصدر: 3090562

بدأت شركة Ivanti أخيرًا في تصحيح زوج من الثغرات الأمنية التي تم الكشف عنها في 10 يناير في أجهزة Connect Secure VPN الخاصة بها. ومع ذلك، فقد أعلنت أيضًا عن خللين إضافيين اليوم في النظام الأساسي، CVE-2024-21888 وCVE-2024-21893 - والأخير أيضًا قيد الاستغلال النشط في البرية.

أصدرت Ivanti الجولة الأولى من التصحيحات للمجموعة الأصلية من أيام الصفر (CVE-2024-21887 و CVE-2023-46805) ولكن لبعض الإصدارات فقط؛ وقالت الشركة في استشاراتها المحدثة اليوم إنه سيتم طرح إصلاحات إضافية وفقًا لجدول زمني متدرج في الأسابيع المقبلة. في غضون ذلك، قدمت Ivanti وسيلة تخفيف يجب على المنظمات غير المصححة تطبيقها على الفور لتجنب الوقوع ضحية لها الاستغلال الجماعي من قبل الجهات الفاعلة التي ترعاها الدولة الصينية ومجرمي الإنترنت ذوي الدوافع المالية على حد سواء.

هجمات سرقة بيانات متعددة من البرامج الضارة المخصصة

أن ويستمر الاستغلال بلا هوادة. وفقًا لمانديانت، فإن التهديد المستمر المتقدم (APT) المدعوم من الصين والذي يطلق عليه UNC5221 كان وراء عمليات الاستغلال التي تعود إلى أوائل ديسمبر. لكن النشاط بشكل عام ارتفع بشكل كبير منذ الإعلان عن CVE-2024-21888 وCVE-2024-21893 في وقت سابق من شهر يناير.

وقال الباحثون في مانديانت: "بالإضافة إلى UNC5221، فإننا نقر باحتمال أن تكون مجموعة واحدة أو أكثر مرتبطة بالنشاط". تحليل الهجوم السيبراني Ivanti صدر اليوم. "من المحتمل أن تكون مجموعات إضافية خارج UNC5221 قد اعتمدت واحدة أو أكثر من الأدوات [المرتبطة بالتسويات]".

إلى تلك النقطة، أصدرت Mandiant معلومات إضافية حول أنواع البرامج الضارة التي تستخدمها UNC5221 والجهات الفاعلة الأخرى في الهجمات على شبكات Ivanti Connect Secure VPN. حتى الآن، تشمل المزروعات التي لاحظوها في البرية ما يلي:

  • أحد أشكال غلاف LightWire Web الذي يُدخل نفسه في مكون شرعي لبوابة VPN، ويتميز الآن بإجراء تشويش مختلف.

  • صدفتان ويب مخصصتان UNC5221، يُطلق عليهما اسم "ChainLine" و"FrameSting"، وهما عبارة عن أبواب خلفية مضمنة في حزم Ivanti Connect Secure Python التي تتيح تنفيذ الأوامر التعسفية.

  • ZipLine، وهو باب خلفي سلبي يستخدمه UNC5221 ويستخدم بروتوكولًا مشفرًا مخصصًا لإنشاء اتصالات باستخدام القيادة والتحكم (C2). وتشمل وظائفه تحميل الملفات وتنزيلها، والصدفة العكسية، والخادم الوكيل، وخادم الاتصال النفقي.

  • أشكال جديدة من البرمجيات الخبيثة لسرقة بيانات الاعتماد WarpWire، والتي تسرق كلمات المرور وأسماء المستخدمين ذات النص العادي لتسللها إلى خادم C2 مشفر. لا ينسب Mandiant كافة المتغيرات إلى UNC5221.

  • وأدوات متعددة مفتوحة المصدر لدعم أنشطة ما بعد الاستغلال مثل استطلاع الشبكة الداخلية، والحركة الجانبية، وتسلل البيانات ضمن عدد محدود من بيئات الضحايا.

يقول كين دونهام، مدير التهديدات السيبرانية في وحدة أبحاث التهديدات في Qualys، الذي حذر: "نجحت الجهات الفاعلة التابعة للدولة القومية UNC5221 في استهداف واستغلال نقاط الضعف في Ivanti لسرقة بيانات التكوين، وتعديل الملفات الموجودة، وتنزيل الملفات البعيدة، وعكس النفق داخل الشبكات". يجب على مستخدمي Ivanti أن يكونوا على اطلاع على هجمات سلسلة التوريد على عملائهم وشركائهم ومورديهم. "من المحتمل أن يكون Ivanti مستهدفًا بسبب الوظيفة والهندسة المعمارية التي يوفرها للجهات الفاعلة، في حالة اختراقها، كحل للشبكات وشبكة VPN، في الشبكات والأهداف النهائية محل الاهتمام."

بالإضافة إلى هذه الأدوات، قام باحثو مانديانت بوضع علامة على النشاط الذي يستخدم مسارًا جانبيًا لتقنية إيفانتي الأولية لتخفيف الفجوة المؤقتة، المفصلة في الاستشارة الأصلية؛ في هذه الهجمات، يقوم مهاجمون إلكترونيون غير معروفين بنشر غلاف ويب مخصص للتجسس عبر الإنترنت يسمى "Bushwalk"، والذي يمكنه قراءة الملفات الموجودة على الخادم أو الكتابة إليها.

"النشاط مستهدف للغاية ومحدود ومتميز عن نشاط الاستغلال الجماعي بعد الاستشارة"، وفقًا للباحثين، الذين قدموا أيضًا مؤشرات واسعة النطاق للتسوية (IoCs) للمدافعين، وقواعد YARA.

أصدرت Ivanti وCISA إرشادات التخفيف المحدثة أمس أن المنظمات يجب أن تطبق.

اثنين من حشرات يوم الصفر الجديدة عالية الخطورة

بالإضافة إلى طرح التصحيحات للأخطاء الموجودة منذ ثلاثة أسابيع، أضافت Ivanti أيضًا إصلاحات لاثنين من التهديدات المشتركة الجديدة إلى نفس الاستشارة. هم:

  • CVE-2024-21888 (درجة CVSS: 8.8): ثغرة أمنية لتصعيد الامتيازات في مكون الويب الخاص بـ Ivanti Connect Secure و Ivanti Policy Secure، مما يسمح للمهاجمين عبر الإنترنت بالحصول على امتيازات المسؤول.

  • CVE-2024-21893 (درجة CVSS: 8.2): ثغرة أمنية لتزوير الطلب من جانب الخادم في مكون SAML الخاص بـ Ivanti Connect Secure و Ivanti Policy Secure و Ivanti Neurons لـ ZTA، مما يسمح للمهاجمين عبر الإنترنت بالوصول إلى "موارد معينة مقيدة دون مصادقة".

لم يتم تداول سوى برمجيات إكسبلويت للأخيرة فقط، ويبدو أن النشاط "مستهدف"، وفقًا لاستشارة إيفانتي، لكنه أضاف أنه يجب على المنظمات "أن تتوقع زيادة حادة في الاستغلال بمجرد نشر هذه المعلومات للعامة - على غرار ما لاحظناه في 11 يناير بعد الكشف في 10 يناير.

يقول دنهام، من Qualys TRU، إنه يتوقع هجمات من أكثر من مجرد التهديدات المستمرة المتقدمة: "يستفيد العديد من الجهات الفاعلة من فرص استغلال الثغرات الأمنية قبل أن تقوم المنظمات بتصحيح وتشديد الهجمات ضد الهجوم. يتم تسليح Ivanti من قبل الجهات الفاعلة التابعة للدولة القومية والآن من المحتمل آخرين - يجب أن تحظى باهتمامك و الأولوية للتصحيح، إذا كنت تستخدم إصدارات ضعيفة في الإنتاج.

ويحذر الباحثون أيضًا من أن نتيجة التسوية قد تكون خطيرة بالنسبة للمؤسسات.

يقول باتريك تيكيت، نائب رئيس الأمن والهندسة المعمارية في Keeper Security: "إن عيوب Ivanti الأمنية العالية [الجديدة] خطيرة [وقيمة بشكل خاص للمهاجمين]، ويجب تصحيحها على الفور". "هذه الثغرات الأمنية، إذا تم استغلالها، يمكن أن تمنح وصولاً غير مصرح به إلى الأنظمة الحساسة وتعريض الشبكة بأكملها للخطر."

الطابع الزمني:

اكثر من قراءة مظلمة