Ivanti er endelig begyndt at reparere et par nul-dages sikkerhedssårbarheder, der blev afsløret den 10. januar i dets Connect Secure VPN-apparater. Det annoncerede dog også to yderligere fejl i dag på platformen, CVE-2024-21888 og CVE-2024-21893 - hvoraf sidstnævnte også er under aktiv udnyttelse i naturen.
Ivanti har udgivet sin første runde af patches for det originale sæt af nul-dage (CVE-2024-21887 og CVE-2023-46805) men kun for nogle versioner; yderligere rettelser vil rulle ud på en forskudt tidsplan i de kommende uger, sagde virksomheden i sin opdaterede rådgivning i dag. I mellemtiden har Ivanti givet en afbødning af, at ikke-patchede organisationer bør søge straks for at undgå at blive ofre for masseudnyttelse af kinesiske statsstøttede aktører og økonomisk motiverede cyberkriminelle.
Flere Custom Malwares Anchor Data Theft Angreb
Det udnyttelsen fortsætter uformindsket. Ifølge Mandiant har en Kina-støttet avanceret vedvarende trussel (APT), som den kalder UNC5221, stået bag bunkevis af udnyttelser tilbage til begyndelsen af december. Men aktiviteten generelt er steget betydeligt, siden CVE-2024-21888 og CVE-2024-21893 blev offentliggjort tidligere i januar.
"Ud over UNC5221 anerkender vi muligheden for, at en eller flere relaterede grupper kan være forbundet med aktiviteten," sagde Mandiant-forskere i en Ivanti cyberangrebsanalyse udgivet i dag. "Det er sandsynligt, at yderligere grupper ud over UNC5221 har vedtaget et eller flere af [de] værktøjer [associeret med kompromiserne]."
Til det punkt udsendte Mandiant yderligere oplysninger om de typer malware, som UNC5221 og andre aktører bruger i angrebene på Ivanti Connect Secure VPN'er. Indtil videre omfatter implantater, de har observeret i naturen:
-
En variant af LightWire Web-shell, der indsætter sig selv i en legitim komponent af VPN-gatewayen, nu med en anden sløringsrutine.
-
To UNC5221 brugerdefinerede web-shells, kaldet "ChainLine" og "FrameSting", som er bagdøre indlejret i Ivanti Connect Secure Python-pakker, der muliggør vilkårlig kommandoudførelse.
-
ZipLine, en passiv bagdør brugt af UNC5221, der bruger en brugerdefineret, krypteret protokol til at etablere kommunikation med kommando-og-kontrol (C2). Dens funktioner inkluderer filupload og download, reverse shell, proxyserver og en tunnelserver.
-
Nye varianter af WarpWire-credential-tyveri-malwaren, som stjæler almindelige tekst-adgangskoder og brugernavne til eksfiltrering til en hårdkodet C2-server. Mandiant tilskriver ikke alle varianterne UNC5221.
-
Og flere open source-værktøjer til at understøtte aktiviteter efter udnyttelse som intern netværksrekognoscering, lateral bevægelse og dataeksfiltrering inden for et begrænset antal offermiljøer.
"Nationsstatsaktører UNC5221 har med succes målrettet og udnyttet sårbarheder i Ivanti til at stjæle konfigurationsdata, ændre eksisterende filer, downloade fjernfiler og vende tunnel i netværk," siger Ken Dunham, direktør for cybertrusler hos Qualys Threat Research Unit, som advarer Ivanti-brugere skal være på udkig efter forsyningskædeangreb på deres kunder, partnere og leverandører. "Ivanti er sandsynligvis målrettet på grund af den funktionalitet og arkitektur, det giver aktører, hvis de kompromitteres, som en netværks- og VPN-løsning, ind i netværk og downstream-mål af interesse."
Ud over disse værktøjer markerede Mandiant-forskere aktivitet, der bruger en bypass til Ivantis indledende stopgap-reduktionsteknik, beskrevet i den oprindelige rådgivning; i disse angreb implementerer ukendte cyberangribere en tilpasset cyberspionage-webskal kaldet "Bushwalk", som kan læse eller skrive til filer til en server.
"Aktiviteten er meget målrettet, begrænset og adskiller sig fra den post-rådgivende masseudbytning," ifølge forskerne, som også leverede omfattende indikatorer for kompromis (IoC'er) for forsvarere og YARA-regler.
Ivanti og CISA har udgivet opdateret afbødende vejledning i går, at organisationer skulle søge.
To friske Zero-Day bugs med høj alvorlighed
Ud over at udrulle patches til de tre uger gamle fejl, tilføjede Ivanti også rettelser til to nye CVE'er til den samme rådgivning. De er:
-
CVE-2024-21888 (CVSS-score: 8.8): En privilegie-eskaleringssårbarhed i webkomponenten af Ivanti Connect Secure og Ivanti Policy Secure, der gør det muligt for cyberangribere at opnå administratorrettigheder.
-
CVE-2024-21893 (CVSS-score: 8.2): En serverside-anmodningsforfalskningssårbarhed i SAML-komponenten af Ivanti Connect Secure, Ivanti Policy Secure og Ivanti Neurons for ZTA, hvilket giver cyberangribere adgang til "visse begrænsede ressourcer uden godkendelse."
Kun udnyttelser til sidstnævnte har cirkuleret i naturen, og aktiviteten "ser ud til at være målrettet", ifølge Ivantis råd, men den tilføjede, at organisationer bør "forvente en kraftig stigning i udnyttelsen, når først denne information er offentlig - svarende til det, vi observerede den 11. januar efter offentliggørelsen den 10. januar."
Qualys TRU's Dunham siger, at man forventer angreb fra mere end blot APT'er: "Flere aktører udnytter mulighederne for udnyttelse af sårbarhed, før organisationer lapper og hærder mod angreb. Ivanti er bevæbnet af nationalstatsaktører og nu sandsynligvis andre - det bør have din opmærksomhed og prioritet at patch, hvis du bruger sårbare versioner i produktionen."
Forskere advarer også om, at resultatet af et kompromis kan være farligt for organisationer.
"Disse [nye] Ivanti højsikkerhedsfejl er alvorlige [og særligt værdifulde for angribere], og bør rettes omgående," siger Patrick Tiquet, vicepræsident for sikkerhed og arkitektur hos Keeper Security. "Disse sårbarheder, hvis de udnyttes, kan give uautoriseret adgang til følsomme systemer og kompromittere et helt netværk."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :har
- :er
- :ikke
- $OP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- adgang
- Ifølge
- anerkende
- aktiv
- aktiviteter
- aktivitet
- aktører
- tilføjet
- Desuden
- Yderligere
- yderligere information
- vedtaget
- fremskreden
- avanceret vedvarende trussel
- Fordel
- rådgivende
- mod
- ens
- Alle
- tillade
- også
- an
- Anchor
- ,
- annoncerede
- kommer til syne
- apparater
- Indløs
- APT
- vilkårlig
- arkitektur
- ER
- AS
- forbundet
- At
- angribe
- Angreb
- opmærksomhed
- Godkendelse
- undgå
- tilbage
- bagdør
- Bagdøre
- BE
- været
- begyndt
- bag
- Beyond
- bugs
- men
- by
- bypass
- kaldet
- Opkald
- CAN
- vis
- kæde
- kinesisk
- Circle
- CISA
- kommer
- kommende uger
- Kommunikation
- selskab
- komponent
- kompromis
- Kompromitteret
- Konfiguration
- Tilslut
- fortsætter
- skik
- Kunder
- Cyber angreb
- cyberkriminelle
- Dangerous
- data
- december
- Defenders
- implementering
- detaljeret
- forskellige
- Direktør
- videregivelse
- distinkt
- gør
- downloade
- grund
- tidligere
- Tidligt
- indlejret
- muliggøre
- krypteret
- Hele
- miljøer
- optrapning
- etablere
- Ether (ETH)
- udførelse
- eksfiltration
- eksisterende
- forvente
- udnyttelse
- Exploited
- exploits
- omfattende
- Faldende
- langt
- Med
- File (Felt)
- Filer
- Endelig
- økonomisk
- Fornavn
- fast
- Markeret
- fejl
- efter
- Til
- vanvid
- frisk
- fra
- Brændstof
- funktionalitet
- funktioner
- Gevinst
- gateway
- Generelt
- gå
- indrømme
- Gruppens
- Have
- stærkt
- Men
- HTTPS
- ICON
- if
- straks
- in
- omfatter
- Forøg
- Indikatorer
- oplysninger
- initial
- Indsætter
- interesse
- interne
- ind
- Udstedt
- IT
- ITS
- selv
- Ivanta
- Jan
- januar
- jpg
- lige
- legitim
- ligesom
- Sandsynlig
- Limited
- lavet
- malware
- Masse
- Kan..
- mellemtiden
- afbødning
- ændre
- mere
- motiveret
- bevægelse
- flere
- netværk
- netværk
- net
- Neuroner
- Ny
- nu
- nummer
- observeret
- of
- on
- engang
- ONE
- kun
- åbent
- open source
- Muligheder
- or
- organisationer
- original
- Andet
- Andre
- ud
- pakker
- par
- især
- partnere
- passive
- Nulstilling/ændring af adgangskoder
- patch
- Patches
- lappe
- patrick
- Simpel tekst
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- politik
- Muligheden
- præsident
- Forud
- prioritet
- privilegium
- privilegier
- produktion
- protokol
- forudsat
- giver
- proxy
- offentlige
- Python
- RE
- Læs
- relaterede
- frigivet
- fjern
- anmode
- forskning
- forskere
- Ressourcer
- begrænset
- resultere
- vende
- Roll
- Rullende
- rundt
- rutine
- regler
- s
- Said
- samme
- siger
- planlægge
- score
- sikker
- sikkerhed
- følsom
- alvorlig
- server
- sæt
- skarp
- Shell
- bør
- lignende
- siden
- So
- indtil nu
- løsninger
- nogle
- Kilde
- stjæler
- Succesfuld
- leverandører
- forsyne
- forsyningskæde
- support
- Systemer
- tager
- målrettet
- mål
- teknik
- end
- at
- tyveri
- deres
- Disse
- de
- denne
- trussel
- til
- i dag
- værktøjer
- TRU
- tunnel
- to
- typer
- uberettiget
- under
- enhed
- ukendt
- opdateret
- anvendte
- brugere
- bruger
- ved brug af
- Værdifuld
- Variant
- versioner
- vice
- Vice President
- Victim
- VPN
- VPN
- Sårbarheder
- sårbarhed
- Sårbar
- advarer
- we
- web
- uger
- var
- Hvad
- som
- WHO
- Wild
- vilje
- med
- inden for
- uden
- skriver
- i går
- dig
- Din
- zephyrnet
