بدأت شركة Ivanti أخيرًا في تصحيح زوج من الثغرات الأمنية التي تم الكشف عنها في 10 يناير في أجهزة Connect Secure VPN الخاصة بها. ومع ذلك، فقد أعلنت أيضًا عن خللين إضافيين اليوم في النظام الأساسي، CVE-2024-21888 وCVE-2024-21893 - والأخير أيضًا قيد الاستغلال النشط في البرية.
أصدرت Ivanti الجولة الأولى من التصحيحات للمجموعة الأصلية من أيام الصفر (CVE-2024-21887 و CVE-2023-46805) ولكن لبعض الإصدارات فقط؛ وقالت الشركة في استشاراتها المحدثة اليوم إنه سيتم طرح إصلاحات إضافية وفقًا لجدول زمني متدرج في الأسابيع المقبلة. في غضون ذلك، قدمت Ivanti وسيلة تخفيف يجب على المنظمات غير المصححة تطبيقها على الفور لتجنب الوقوع ضحية لها الاستغلال الجماعي من قبل الجهات الفاعلة التي ترعاها الدولة الصينية ومجرمي الإنترنت ذوي الدوافع المالية على حد سواء.
هجمات سرقة بيانات متعددة من البرامج الضارة المخصصة
أن ويستمر الاستغلال بلا هوادة. وفقًا لمانديانت، فإن التهديد المستمر المتقدم (APT) المدعوم من الصين والذي يطلق عليه UNC5221 كان وراء عمليات الاستغلال التي تعود إلى أوائل ديسمبر. لكن النشاط بشكل عام ارتفع بشكل كبير منذ الإعلان عن CVE-2024-21888 وCVE-2024-21893 في وقت سابق من شهر يناير.
“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in تحليل الهجوم السيبراني Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”
إلى تلك النقطة، أصدرت Mandiant معلومات إضافية حول أنواع البرامج الضارة التي تستخدمها UNC5221 والجهات الفاعلة الأخرى في الهجمات على شبكات Ivanti Connect Secure VPN. حتى الآن، تشمل المزروعات التي لاحظوها في البرية ما يلي:
-
أحد أشكال غلاف LightWire Web الذي يُدخل نفسه في مكون شرعي لبوابة VPN، ويتميز الآن بإجراء تشويش مختلف.
-
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
-
ZipLine، وهو باب خلفي سلبي يستخدمه UNC5221 ويستخدم بروتوكولًا مشفرًا مخصصًا لإنشاء اتصالات باستخدام القيادة والتحكم (C2). وتشمل وظائفه تحميل الملفات وتنزيلها، والصدفة العكسية، والخادم الوكيل، وخادم الاتصال النفقي.
-
أشكال جديدة من البرمجيات الخبيثة لسرقة بيانات الاعتماد WarpWire، والتي تسرق كلمات المرور وأسماء المستخدمين ذات النص العادي لتسللها إلى خادم C2 مشفر. لا ينسب Mandiant كافة المتغيرات إلى UNC5221.
-
وأدوات متعددة مفتوحة المصدر لدعم أنشطة ما بعد الاستغلال مثل استطلاع الشبكة الداخلية، والحركة الجانبية، وتسلل البيانات ضمن عدد محدود من بيئات الضحايا.
“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”
In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.
“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.
أصدرت Ivanti وCISA إرشادات التخفيف المحدثة أمس أن المنظمات يجب أن تطبق.
اثنين من حشرات يوم الصفر الجديدة عالية الخطورة
بالإضافة إلى طرح التصحيحات للأخطاء الموجودة منذ ثلاثة أسابيع، أضافت Ivanti أيضًا إصلاحات لاثنين من التهديدات المشتركة الجديدة إلى نفس الاستشارة. هم:
-
CVE-2024-21888 (درجة CVSS: 8.8): ثغرة أمنية لتصعيد الامتيازات في مكون الويب الخاص بـ Ivanti Connect Secure و Ivanti Policy Secure، مما يسمح للمهاجمين عبر الإنترنت بالحصول على امتيازات المسؤول.
-
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”
Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”
Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”
ويحذر الباحثون أيضًا من أن نتيجة التسوية قد تكون خطيرة بالنسبة للمؤسسات.
“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :لديها
- :يكون
- :ليس
- $ UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- الوصول
- وفقا
- نقر
- نشط
- أنشطة
- نشاط
- الجهات الفاعلة
- وأضاف
- إضافة
- إضافي
- معلومات اضافية
- اعتمد
- متقدم
- تهديد مستمر متقدم
- مميزات
- استشاري
- ضد
- سواء
- الكل
- السماح
- أيضا
- an
- مرساة
- و
- أعلن
- يبدو
- الأجهزة
- التقديم
- APT
- التعسفي
- هندسة معمارية
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- اهتمام
- التحقّق من المُستخدم
- تجنب
- الى الخلف
- الباب الخلفي
- خلفي
- BE
- كان
- بدأت
- وراء
- Beyond
- البق
- لكن
- by
- تجنب
- تسمى
- دعوات
- CAN
- معين
- سلسلة
- الصينية
- دائرة
- CISA
- آت
- الأسابيع المقبلة
- مجال الاتصالات
- حول الشركة
- عنصر
- حل وسط
- تسوية
- الاعداد
- التواصل
- تواصل
- على
- العملاء
- هجوم الانترنت
- مجرمو الإنترنت
- خطير
- البيانات
- ديسمبر
- المدافعين عن حقوق الإنسان
- نشر
- مفصلة
- مختلف
- مدير المدارس
- إفشاء
- خامد
- هل
- بإمكانك تحميله
- اثنان
- في وقت سابق
- في وقت مبكر
- جزءا لا يتجزأ من
- تمكين
- مشفرة
- كامل
- البيئات
- التصعيد
- إنشاء
- الأثير (ETH)
- exfiltration
- القائمة
- توقع
- استغلال
- استغلال
- مآثر
- واسع
- هبوط
- بعيدا
- ويتميز
- قم بتقديم
- ملفات
- أخيرا
- ماليا
- الاسم الأول
- إصلاحات
- مرصوف
- العيوب
- متابعيك
- في حالة
- نوبة
- جديد
- تبدأ من
- وقود
- وظيفة
- وظائف
- ربح
- بوابة
- العلاجات العامة
- الذهاب
- منح
- مجموعات
- يملك
- جدا
- لكن
- HTTPS
- اي كون
- if
- فورا
- in
- تتضمن
- القيمة الاسمية
- من مؤشرات
- معلومات
- في البداية
- إدراج
- مصلحة
- داخلي
- إلى
- نشر
- IT
- انها
- نفسها
- إيفانتي
- يناير
- يناير
- JPG
- م
- شرعي
- مثل
- على الأرجح
- محدود
- صنع
- البرمجيات الخبيثة
- كتلة
- مايو..
- غضون ذلك
- تخفيف
- تعديل
- الأكثر من ذلك
- الدافع
- حركة
- متعدد
- شبكة
- الشبكات
- الشبكات
- الخلايا العصبية
- جديد
- الآن
- عدد
- ملاحظ
- of
- on
- مرة
- ONE
- فقط
- جاكيت
- المصدر المفتوح
- الفرص
- or
- المنظمات
- أصلي
- أخرى
- أخرى
- خارج
- حزم
- زوج
- خاصة
- شركاء
- سلبي
- كلمات السر
- بقعة
- بقع
- الترقيع
- باتريك
- نص عادي
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- سياسة
- إمكانية
- رئيس
- قبل
- الأولوية
- امتياز
- الامتيازات
- الإنتــاج
- بروتوكول
- المقدمة
- ويوفر
- الوكيل
- جمهور
- بايثون
- RE
- عرض
- ذات صلة
- صدر
- عن بعد
- طلب
- بحث
- الباحثين
- الموارد
- مقيد
- نتيجة
- عكس
- لفة
- المتداول
- دائري
- روتين
- القواعد
- s
- قال
- نفسه
- يقول
- جدول
- أحرز هدفاً
- تأمين
- أمن
- حساس
- جدي
- الخادم
- طقم
- حاد
- قذيفة
- ينبغي
- مماثل
- منذ
- So
- حتى الآن
- حل
- بعض
- مصدر
- تسرق
- بنجاح
- الموردين
- تزويد
- سلسلة التوريد
- الدعم
- أنظمة
- مع الأخذ
- المستهدفة
- الأهداف
- تقنية
- من
- أن
- •
- سرقة
- من مشاركة
- تشبه
- هم
- التهديد
- إلى
- اليوم
- أدوات
- TRU
- نفق
- اثنان
- أنواع
- غير مصرح
- مع
- وحدة
- غير معروف
- تحديث
- مستعمل
- المستخدمين
- يستخدم
- استخدام
- القيمة
- متنوع
- الإصدارات
- رذيلة
- Vice President
- ضحية
- VPN
- الشبكات الخاصة الإفتراضية
- نقاط الضعف
- الضعف
- الضعيفة
- يحذر
- we
- الويب
- أسابيع
- كان
- ابحث عن
- التي
- من الذى
- بري
- سوف
- مع
- في غضون
- بدون
- اكتب
- أمس
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت