আরও ইভান্তি ভিপিএন জিরো-ডে ফুয়েল অ্যাটাক উন্মাদনা হিসাবে প্যাচগুলি অবশেষে রোল

আরও ইভান্তি ভিপিএন জিরো-ডে ফুয়েল অ্যাটাক উন্মাদনা হিসাবে প্যাচগুলি অবশেষে রোল

সময় স্ট্যাম্প: 31 জানুয়ারী, 2024 3:25 অপরাহ্ন
উত্স নোড: 3090562

ইভান্তি অবশেষে 10 জানুয়ারী তার Connect Secure VPN অ্যাপ্লায়েন্সে প্রকাশ করা শূন্য-দিনের নিরাপত্তা দুর্বলতার একটি জোড়া প্যাচ করা শুরু করেছে। যাইহোক, এটি আজ প্ল্যাটফর্মে দুটি অতিরিক্ত বাগ ঘোষণা করেছে, CVE-2024-21888 এবং CVE-2024-21893 - যার পরবর্তীটি বন্য অঞ্চলে সক্রিয় শোষণের অধীনে রয়েছে।

ইভান্তি তার প্রথম রাউন্ডের প্যাচ প্রকাশ করেছে শূন্য দিনের মূল সেটের জন্য (CVE-2024-21887 এবং CVE-2023-46805) কিন্তু শুধুমাত্র কিছু সংস্করণের জন্য; অতিরিক্ত ফিক্স আগামী সপ্তাহগুলিতে একটি স্থবির সময়সূচীতে রোল আউট হবে, কোম্পানিটি আজ তার আপডেট করা পরামর্শে বলেছে। ইতিমধ্যে, ইভান্তি একটি প্রশমন প্রদান করেছে যে প্যাচ না করা সংস্থাগুলিকে অবিলম্বে আবেদন করা উচিত যাতে এর শিকার না হয় চীনা রাষ্ট্র-স্পন্সর অভিনেতাদের দ্বারা ব্যাপক শোষণ এবং একইভাবে আর্থিকভাবে অনুপ্রাণিত সাইবার অপরাধী।

একাধিক কাস্টম ম্যালওয়্যার অ্যাঙ্কর ডেটা চুরি আক্রমণ

যে শোষণ অবিরাম চলতে থাকে. ম্যান্ডিয়েন্টের মতে, একটি চীন-সমর্থিত অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) যাকে ইউএনসি5221 বলা হয় ডিসেম্বরের শুরুতে শোষণের পুনরাবৃত্তির পিছনে রয়েছে। কিন্তু জানুয়ারিতে CVE-2024-21888 এবং CVE-2024-21893 প্রকাশের পর থেকে সাধারণভাবে কার্যকলাপ যথেষ্ট বেড়েছে।

"UNC5221 ছাড়াও, আমরা এই সম্ভাবনাকে স্বীকার করি যে এক বা একাধিক সম্পর্কিত গ্রুপ কার্যকলাপের সাথে যুক্ত হতে পারে," ম্যান্ডিয়ান গবেষকরা বলেছেন একটি ইভান্তি সাইবার অ্যাটাক বিশ্লেষণ আজ মুক্তি। "সম্ভবত যে UNC5221 এর বাইরে অতিরিক্ত গোষ্ঠীগুলি এক বা একাধিক [সমঝোতার সাথে যুক্ত] সরঞ্জামগুলি গ্রহণ করেছে।"

সেই মুহুর্তে, Mandiant ম্যালওয়্যারের প্রকারের অতিরিক্ত তথ্য জারি করেছে যা UNC5221 এবং অন্যান্য অভিনেতারা Ivanti Connect Secure VPN-এর আক্রমণে ব্যবহার করছে। এখনও অবধি, তারা বন্যের মধ্যে পর্যবেক্ষণ করা ইমপ্লান্টগুলির মধ্যে রয়েছে:

  • লাইটওয়্যার ওয়েব শেলের একটি বৈকল্পিক যা ভিপিএন গেটওয়ের একটি বৈধ উপাদানে নিজেকে সন্নিবেশিত করে, এখন একটি ভিন্ন অস্পষ্টতা রুটিন বৈশিষ্ট্যযুক্ত।

  • দুটি UNC5221 কাস্টম ওয়েব শেল, যাকে "চেইনলাইন" এবং "ফ্রেমস্টিং" বলা হয়, যেগুলি ইভান্তি কানেক্ট সিকিউর পাইথন প্যাকেজগুলিতে এম্বেড করা ব্যাকডোর যা নির্বিচারে কমান্ড কার্যকর করতে সক্ষম করে৷

  • ZipLine, UNC5221 দ্বারা ব্যবহৃত একটি প্যাসিভ ব্যাকডোর যা কমান্ড-এন্ড-কন্ট্রোল (C2) এর সাথে যোগাযোগ স্থাপনের জন্য একটি কাস্টম, এনক্রিপ্ট করা প্রোটোকল ব্যবহার করে। এর ফাংশনগুলির মধ্যে ফাইল আপলোড এবং ডাউনলোড, রিভার্স শেল, প্রক্সি সার্ভার এবং একটি টানেলিং সার্ভার অন্তর্ভুক্ত রয়েছে।

  • WarpWire শংসাপত্র-চুরির ম্যালওয়্যারের নতুন রূপ, যা একটি হার্ড-কোডেড C2 সার্ভারে এক্সফিল্ট করার জন্য প্লেইনটেক্সট পাসওয়ার্ড এবং ব্যবহারকারীর নাম চুরি করে। Mandiant সমস্ত রূপকে UNC5221-এ দায়ী করে না।

  • এবং সীমিত সংখ্যক ভিকটিম পরিবেশের মধ্যে অভ্যন্তরীণ নেটওয়ার্ক পুনরুদ্ধার, পার্শ্বীয় আন্দোলন এবং ডেটা এক্সফিল্ট্রেশনের মতো পোস্ট-শোষণের ক্রিয়াকলাপকে সমর্থন করার জন্য একাধিক ওপেন সোর্স সরঞ্জাম।

কোয়ালিস থ্রেট রিসার্চ ইউনিটের সাইবার-হুমকি পরিচালক কেন ডানহাম বলেছেন, "জাতি-রাষ্ট্র অভিনেতা UNC5221 সফলভাবে ইভান্তিতে কনফিগারেশন ডেটা চুরি করতে, বিদ্যমান ফাইলগুলিকে সংশোধন করতে, দূরবর্তী ফাইলগুলি ডাউনলোড করতে এবং নেটওয়ার্কগুলির মধ্যে বিপরীত টানেল করতে ইভান্তিতে দুর্বলতাগুলিকে লক্ষ্যবস্তু এবং শোষণ করেছে।" ইভান্তি ব্যবহারকারীরা তাদের গ্রাহক, অংশীদার এবং সরবরাহকারীদের উপর সাপ্লাই চেইন আক্রমণের সন্ধানে থাকবেন। "ইভান্তিকে সম্ভবত [কারণ] কার্যকারিতা এবং স্থাপত্যের কারণে টার্গেট করা হয়েছে যে এটি অভিনেতাদের, যদি আপোস করা হয়, নেটওয়ার্কিং এবং ভিপিএন সমাধান হিসাবে, নেটওয়ার্ক এবং আগ্রহের নিম্নধারার লক্ষ্যে।"

এই সরঞ্জামগুলি ছাড়াও, ম্যান্ডিয়েন্ট গবেষকরা এমন কার্যকলাপকে পতাকাঙ্কিত করেছেন যা ইভান্তির প্রাথমিক স্টপগ্যাপ প্রশমন কৌশলের জন্য একটি বাইপাস ব্যবহার করে, মূল পরামর্শে বিস্তারিত; এই আক্রমণগুলিতে, অজানা সাইবার আক্রমণকারীরা "বুশওয়াক" নামে একটি কাস্টম সাইবার-গুপ্তচরবৃত্তির ওয়েব শেল মোতায়েন করছে, যা একটি সার্ভারে ফাইলগুলি পড়তে বা লিখতে পারে৷

"ক্রিয়াকলাপটি অত্যন্ত লক্ষ্যবস্তু, সীমিত, এবং উপদেষ্টা-পরবর্তী গণ শোষণ কার্যকলাপ থেকে স্বতন্ত্র," গবেষকদের মতে, যারা ডিফেন্ডারদের জন্য সমঝোতার বিস্তৃত সূচক (IoCs) এবং YARA বিধি প্রদান করেছে৷

ইভান্তি এবং CISA আপডেট করা প্রশমন নির্দেশিকা প্রকাশ করেছে গতকাল যে সংস্থাগুলিকে আবেদন করা উচিত।

দুটি তাজা উচ্চ-তীব্রতা জিরো-ডে বাগ

তিন-সপ্তাহ-পুরোনো বাগগুলির জন্য প্যাচগুলি রোল আউট করার পাশাপাশি, ইভান্তি একই পরামর্শে দুটি নতুন CVE-এর জন্য সংশোধনও যুক্ত করেছে। তারা হল:

  • CVE-2024-21888 (CVSS স্কোর: 8.8): Ivanti Connect Secure এবং Ivanti Policy Secure-এর ওয়েব কম্পোনেন্টে একটি বিশেষাধিকার বৃদ্ধির দুর্বলতা, যা সাইবার আক্রমণকারীদের প্রশাসক বিশেষাধিকার লাভ করতে দেয়।

  • CVE-2024-21893 (CVSS স্কোর: 8.2): Ivanti Connect Secure, Ivanti Policy Secure, এবং ZTA-এর জন্য Ivanti নিউরনের SAML কম্পোনেন্টে সার্ভার-সাইড অনুরোধ জালিয়াতি দুর্বলতা, সাইবার আক্রমণকারীদের "কিছু সীমাবদ্ধ রিসোর্স" ছাড়াই অ্যাক্সেস করতে দেয়।

ইভান্তির পরামর্শ অনুসারে শুধুমাত্র পরবর্তীদের জন্য শোষণগুলিই প্রচারিত হয়েছে, এবং কার্যকলাপটি "লক্ষ্যযুক্ত বলে মনে হচ্ছে", তবে এটি যোগ করেছে যে সংস্থাগুলিকে "এই তথ্য প্রকাশ্যে আসার পরে শোষণের তীব্র বৃদ্ধি আশা করা উচিত - আমরা যা পর্যবেক্ষণ করেছি তার অনুরূপ 11 জানুয়ারী প্রকাশের পর 10 জানুয়ারী।

Qualys TRU-এর ডানহাম শুধু APTs থেকে আক্রমণের আশা করতে বলেছেন: “একাধিক অভিনেতা দুর্বলতা শোষণের সুযোগের সদ্ব্যবহার করছে আক্রমণের বিরুদ্ধে প্যাচিং এবং কঠোর করার আগে ইভান্তি জাতি-রাষ্ট্র অভিনেতাদের দ্বারা অস্ত্রশস্ত্র করা হয়েছে এবং এখন সম্ভবত অন্যরা — এতে আপনার মনোযোগ থাকা উচিত এবং প্যাচের অগ্রাধিকার, যদি আপনি উৎপাদনে দুর্বল সংস্করণ ব্যবহার করেন।"

গবেষকরা সতর্ক করেছেন যে একটি সমঝোতার ফলাফল সংস্থাগুলির জন্য বিপজ্জনক হতে পারে।

“এই [নতুন] ইভান্তির উচ্চ-নিরাপত্তা ত্রুটিগুলি গুরুতর [এবং আক্রমণকারীদের জন্য বিশেষভাবে মূল্যবান], এবং অবিলম্বে প্যাচ করা উচিত,” বলেছেন কিপার সিকিউরিটির নিরাপত্তা ও স্থাপত্যের ভাইস প্রেসিডেন্ট প্যাট্রিক টিকেট। "এই দুর্বলতাগুলি, যদি শোষিত হয়, তাহলে সংবেদনশীল সিস্টেমগুলিতে অননুমোদিত অ্যাক্সেস মঞ্জুর করতে পারে এবং একটি সম্পূর্ণ নেটওয়ার্কের সাথে আপস করতে পারে।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া