بدأت شركة Ivanti أخيرًا في تصحيح زوج من الثغرات الأمنية التي تم الكشف عنها في 10 يناير في أجهزة Connect Secure VPN الخاصة بها. ومع ذلك، فقد أعلنت أيضًا عن خللين إضافيين اليوم في النظام الأساسي، CVE-2024-21888 وCVE-2024-21893 - والأخير أيضًا قيد الاستغلال النشط في البرية.
أصدرت Ivanti الجولة الأولى من التصحيحات للمجموعة الأصلية من أيام الصفر (CVE-2024-21887 و CVE-2023-46805) ولكن لبعض الإصدارات فقط؛ وقالت الشركة في استشاراتها المحدثة اليوم إنه سيتم طرح إصلاحات إضافية وفقًا لجدول زمني متدرج في الأسابيع المقبلة. في غضون ذلك، قدمت Ivanti وسيلة تخفيف يجب على المنظمات غير المصححة تطبيقها على الفور لتجنب الوقوع ضحية لها الاستغلال الجماعي من قبل الجهات الفاعلة التي ترعاها الدولة الصينية ومجرمي الإنترنت ذوي الدوافع المالية على حد سواء.
هجمات سرقة بيانات متعددة من البرامج الضارة المخصصة
أن ويستمر الاستغلال بلا هوادة. وفقًا لمانديانت، فإن التهديد المستمر المتقدم (APT) المدعوم من الصين والذي يطلق عليه UNC5221 كان وراء عمليات الاستغلال التي تعود إلى أوائل ديسمبر. لكن النشاط بشكل عام ارتفع بشكل كبير منذ الإعلان عن CVE-2024-21888 وCVE-2024-21893 في وقت سابق من شهر يناير.
وقال الباحثون في مانديانت: "بالإضافة إلى UNC5221، فإننا نقر باحتمال أن تكون مجموعة واحدة أو أكثر مرتبطة بالنشاط". تحليل الهجوم السيبراني Ivanti صدر اليوم. "من المحتمل أن تكون مجموعات إضافية خارج UNC5221 قد اعتمدت واحدة أو أكثر من الأدوات [المرتبطة بالتسويات]".
إلى تلك النقطة، أصدرت Mandiant معلومات إضافية حول أنواع البرامج الضارة التي تستخدمها UNC5221 والجهات الفاعلة الأخرى في الهجمات على شبكات Ivanti Connect Secure VPN. حتى الآن، تشمل المزروعات التي لاحظوها في البرية ما يلي:
-
أحد أشكال غلاف LightWire Web الذي يُدخل نفسه في مكون شرعي لبوابة VPN، ويتميز الآن بإجراء تشويش مختلف.
-
صدفتان ويب مخصصتان UNC5221، يُطلق عليهما اسم "ChainLine" و"FrameSting"، وهما عبارة عن أبواب خلفية مضمنة في حزم Ivanti Connect Secure Python التي تتيح تنفيذ الأوامر التعسفية.
-
ZipLine، وهو باب خلفي سلبي يستخدمه UNC5221 ويستخدم بروتوكولًا مشفرًا مخصصًا لإنشاء اتصالات باستخدام القيادة والتحكم (C2). وتشمل وظائفه تحميل الملفات وتنزيلها، والصدفة العكسية، والخادم الوكيل، وخادم الاتصال النفقي.
-
أشكال جديدة من البرمجيات الخبيثة لسرقة بيانات الاعتماد WarpWire، والتي تسرق كلمات المرور وأسماء المستخدمين ذات النص العادي لتسللها إلى خادم C2 مشفر. لا ينسب Mandiant كافة المتغيرات إلى UNC5221.
-
وأدوات متعددة مفتوحة المصدر لدعم أنشطة ما بعد الاستغلال مثل استطلاع الشبكة الداخلية، والحركة الجانبية، وتسلل البيانات ضمن عدد محدود من بيئات الضحايا.
يقول كين دونهام، مدير التهديدات السيبرانية في وحدة أبحاث التهديدات في Qualys، الذي حذر: "نجحت الجهات الفاعلة التابعة للدولة القومية UNC5221 في استهداف واستغلال نقاط الضعف في Ivanti لسرقة بيانات التكوين، وتعديل الملفات الموجودة، وتنزيل الملفات البعيدة، وعكس النفق داخل الشبكات". يجب على مستخدمي Ivanti أن يكونوا على اطلاع على هجمات سلسلة التوريد على عملائهم وشركائهم ومورديهم. "من المحتمل أن يكون Ivanti مستهدفًا بسبب الوظيفة والهندسة المعمارية التي يوفرها للجهات الفاعلة، في حالة اختراقها، كحل للشبكات وشبكة VPN، في الشبكات والأهداف النهائية محل الاهتمام."
بالإضافة إلى هذه الأدوات، قام باحثو مانديانت بوضع علامة على النشاط الذي يستخدم مسارًا جانبيًا لتقنية إيفانتي الأولية لتخفيف الفجوة المؤقتة، المفصلة في الاستشارة الأصلية؛ في هذه الهجمات، يقوم مهاجمون إلكترونيون غير معروفين بنشر غلاف ويب مخصص للتجسس عبر الإنترنت يسمى "Bushwalk"، والذي يمكنه قراءة الملفات الموجودة على الخادم أو الكتابة إليها.
"النشاط مستهدف للغاية ومحدود ومتميز عن نشاط الاستغلال الجماعي بعد الاستشارة"، وفقًا للباحثين، الذين قدموا أيضًا مؤشرات واسعة النطاق للتسوية (IoCs) للمدافعين، وقواعد YARA.
أصدرت Ivanti وCISA إرشادات التخفيف المحدثة أمس أن المنظمات يجب أن تطبق.
اثنين من حشرات يوم الصفر الجديدة عالية الخطورة
بالإضافة إلى طرح التصحيحات للأخطاء الموجودة منذ ثلاثة أسابيع، أضافت Ivanti أيضًا إصلاحات لاثنين من التهديدات المشتركة الجديدة إلى نفس الاستشارة. هم:
-
CVE-2024-21888 (درجة CVSS: 8.8): ثغرة أمنية لتصعيد الامتيازات في مكون الويب الخاص بـ Ivanti Connect Secure و Ivanti Policy Secure، مما يسمح للمهاجمين عبر الإنترنت بالحصول على امتيازات المسؤول.
-
CVE-2024-21893 (درجة CVSS: 8.2): ثغرة أمنية لتزوير الطلب من جانب الخادم في مكون SAML الخاص بـ Ivanti Connect Secure و Ivanti Policy Secure و Ivanti Neurons لـ ZTA، مما يسمح للمهاجمين عبر الإنترنت بالوصول إلى "موارد معينة مقيدة دون مصادقة".
لم يتم تداول سوى برمجيات إكسبلويت للأخيرة فقط، ويبدو أن النشاط "مستهدف"، وفقًا لاستشارة إيفانتي، لكنه أضاف أنه يجب على المنظمات "أن تتوقع زيادة حادة في الاستغلال بمجرد نشر هذه المعلومات للعامة - على غرار ما لاحظناه في 11 يناير بعد الكشف في 10 يناير.
يقول دنهام، من Qualys TRU، إنه يتوقع هجمات من أكثر من مجرد التهديدات المستمرة المتقدمة: "يستفيد العديد من الجهات الفاعلة من فرص استغلال الثغرات الأمنية قبل أن تقوم المنظمات بتصحيح وتشديد الهجمات ضد الهجوم. يتم تسليح Ivanti من قبل الجهات الفاعلة التابعة للدولة القومية والآن من المحتمل آخرين - يجب أن تحظى باهتمامك و الأولوية للتصحيح، إذا كنت تستخدم إصدارات ضعيفة في الإنتاج.
ويحذر الباحثون أيضًا من أن نتيجة التسوية قد تكون خطيرة بالنسبة للمؤسسات.
يقول باتريك تيكيت، نائب رئيس الأمن والهندسة المعمارية في Keeper Security: "إن عيوب Ivanti الأمنية العالية [الجديدة] خطيرة [وقيمة بشكل خاص للمهاجمين]، ويجب تصحيحها على الفور". "هذه الثغرات الأمنية، إذا تم استغلالها، يمكن أن تمنح وصولاً غير مصرح به إلى الأنظمة الحساسة وتعريض الشبكة بأكملها للخطر."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :لديها
- :يكون
- :ليس
- $ UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- الوصول
- وفقا
- نقر
- نشط
- أنشطة
- نشاط
- الجهات الفاعلة
- وأضاف
- إضافة
- إضافي
- معلومات اضافية
- اعتمد
- متقدم
- تهديد مستمر متقدم
- مميزات
- استشاري
- ضد
- سواء
- الكل
- السماح
- أيضا
- an
- مرساة
- و
- أعلن
- يبدو
- الأجهزة
- التقديم
- APT
- التعسفي
- هندسة معمارية
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- اهتمام
- التحقّق من المُستخدم
- تجنب
- الى الخلف
- الباب الخلفي
- خلفي
- BE
- كان
- بدأت
- وراء
- Beyond
- البق
- لكن
- by
- تجنب
- تسمى
- دعوات
- CAN
- معين
- سلسلة
- الصينية
- دائرة
- CISA
- آت
- الأسابيع المقبلة
- مجال الاتصالات
- حول الشركة
- عنصر
- حل وسط
- تسوية
- الاعداد
- التواصل
- تواصل
- على
- العملاء
- هجوم الانترنت
- مجرمو الإنترنت
- خطير
- البيانات
- ديسمبر
- المدافعين عن حقوق الإنسان
- نشر
- مفصلة
- مختلف
- مدير المدارس
- إفشاء
- خامد
- هل
- بإمكانك تحميله
- اثنان
- في وقت سابق
- في وقت مبكر
- جزءا لا يتجزأ من
- تمكين
- مشفرة
- كامل
- البيئات
- التصعيد
- إنشاء
- الأثير (ETH)
- exfiltration
- القائمة
- توقع
- استغلال
- استغلال
- مآثر
- واسع
- هبوط
- بعيدا
- ويتميز
- قم بتقديم
- ملفات
- أخيرا
- ماليا
- الاسم الأول
- إصلاحات
- مرصوف
- العيوب
- متابعيك
- في حالة
- نوبة
- جديد
- تبدأ من
- وقود
- وظيفة
- وظائف
- ربح
- بوابة
- العلاجات العامة
- الذهاب
- منح
- مجموعات
- يملك
- جدا
- لكن
- HTTPS
- اي كون
- if
- فورا
- in
- تتضمن
- القيمة الاسمية
- من مؤشرات
- معلومات
- في البداية
- إدراج
- مصلحة
- داخلي
- إلى
- نشر
- IT
- انها
- نفسها
- إيفانتي
- يناير
- يناير
- JPG
- م
- شرعي
- مثل
- على الأرجح
- محدود
- صنع
- البرمجيات الخبيثة
- كتلة
- مايو..
- غضون ذلك
- تخفيف
- تعديل
- الأكثر من ذلك
- الدافع
- حركة
- متعدد
- شبكة
- الشبكات
- الشبكات
- الخلايا العصبية
- جديد
- الآن
- عدد
- ملاحظ
- of
- on
- مرة
- ONE
- فقط
- جاكيت
- المصدر المفتوح
- الفرص
- or
- المنظمات
- أصلي
- أخرى
- أخرى
- خارج
- حزم
- زوج
- خاصة
- شركاء
- سلبي
- كلمات السر
- بقعة
- بقع
- الترقيع
- باتريك
- نص عادي
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- سياسة
- إمكانية
- رئيس
- قبل
- الأولوية
- امتياز
- الامتيازات
- الإنتــاج
- بروتوكول
- المقدمة
- ويوفر
- الوكيل
- جمهور
- بايثون
- RE
- عرض
- ذات صلة
- صدر
- عن بعد
- طلب
- بحث
- الباحثين
- الموارد
- مقيد
- نتيجة
- عكس
- لفة
- المتداول
- دائري
- روتين
- القواعد
- s
- قال
- نفسه
- يقول
- جدول
- أحرز هدفاً
- تأمين
- أمن
- حساس
- جدي
- الخادم
- طقم
- حاد
- قذيفة
- ينبغي
- مماثل
- منذ
- So
- حتى الآن
- حل
- بعض
- مصدر
- تسرق
- بنجاح
- الموردين
- تزويد
- سلسلة التوريد
- الدعم
- أنظمة
- مع الأخذ
- المستهدفة
- الأهداف
- تقنية
- من
- أن
- •
- سرقة
- من مشاركة
- تشبه
- هم
- التهديد
- إلى
- اليوم
- أدوات
- TRU
- نفق
- اثنان
- أنواع
- غير مصرح
- مع
- وحدة
- غير معروف
- تحديث
- مستعمل
- المستخدمين
- يستخدم
- استخدام
- القيمة
- متنوع
- الإصدارات
- رذيلة
- Vice President
- ضحية
- VPN
- الشبكات الخاصة الإفتراضية
- نقاط الضعف
- الضعف
- الضعيفة
- يحذر
- we
- الويب
- أسابيع
- كان
- ابحث عن
- التي
- من الذى
- بري
- سوف
- مع
- في غضون
- بدون
- اكتب
- أمس
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت