Mehr Ivanti VPN Zero-Days schüren den Angriffsrausch, während Patches endlich verfügbar sind

Neuauflage von Plato

Verfolger: 0

Ivanti hat endlich damit begonnen, zwei Zero-Day-Sicherheitslücken zu schließen, die am 10. Januar in seinen Connect Secure VPN-Appliances bekannt wurden. Allerdings wurden heute auch zwei weitere Fehler in der Plattform angekündigt, CVE-2024-21888 und CVE-2024-21893 – letzterer wird ebenfalls aktiv ausgenutzt.

Ivanti hat seine erste Patch-Runde veröffentlicht für den ursprünglichen Satz von Nulltagen (CVE-2024-21887 und CVE-2023-46805), aber nur für einige Versionen; Weitere Korrekturen werden in den kommenden Wochen gestaffelt eingeführt, teilte das Unternehmen heute in seiner aktualisierten Mitteilung mit. In der Zwischenzeit hat Ivanti eine Abhilfemaßnahme bereitgestellt, die nicht gepatchte Organisationen sofort anwenden sollten, um nicht zum Opfer zu fallen Massenausbeutung durch staatlich geförderte chinesische Akteure und finanziell motivierte Cyberkriminelle gleichermaßen.

Mehrere benutzerdefinierte Malware-Angriffe dienen als Anker für Datendiebstahl-Angriffe

Dass Die Ausbeutung geht unvermindert weiter. Laut Mandiant steckt seit Anfang Dezember eine von China unterstützte Advanced Persistent Threat (APT) namens UNC5221 hinter zahlreichen Angriffen. Aber die Aktivität im Allgemeinen hat erheblich zugenommen, seit CVE-2024-21888 und CVE-2024-21893 Anfang Januar veröffentlicht wurden.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in eine Ivanti-Cyberangriffsanalyse released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

Zu diesem Zeitpunkt veröffentlichte Mandiant zusätzliche Informationen zu den Arten von Malware, die UNC5221 und andere Akteure bei den Angriffen auf Ivanti Connect Secure VPNs verwenden. Zu den bisher in freier Wildbahn beobachteten Implantaten gehören:

Eine Variante der LightWire-Web-Shell, die sich in eine legitime Komponente des VPN-Gateways einfügt und jetzt über eine andere Verschleierungsroutine verfügt.
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
ZipLine, eine passive Hintertür, die von UNC5221 verwendet wird und ein benutzerdefiniertes, verschlüsseltes Protokoll verwendet, um Kommunikation mit Command-and-Control (C2) herzustellen. Zu seinen Funktionen gehören das Hoch- und Herunterladen von Dateien, eine Reverse-Shell, ein Proxyserver und ein Tunnelserver.
Neue Varianten der WarpWire-Malware zum Diebstahl von Anmeldeinformationen, die Klartext-Passwörter und Benutzernamen stiehlt, um sie auf einen hartcodierten C2-Server zu exfiltrieren. Mandiant führt nicht alle Varianten auf UNC5221 zurück.
Und mehrere Open-Source-Tools zur Unterstützung von Post-Exploit-Aktivitäten wie interne Netzwerkaufklärung, Lateral Movement und Datenexfiltration in einer begrenzten Anzahl von Opferumgebungen.

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti und CISA haben aktualisierte Leitlinien zur Risikominderung veröffentlicht gestern, dass Organisationen sich bewerben sollten.

Zwei neue Zero-Day-Bugs mit hohem Schweregrad

Zusätzlich zur Bereitstellung von Patches für die drei Wochen alten Fehler fügte Ivanti dem gleichen Advisory auch Fixes für zwei neue CVEs hinzu. Sie sind:

CVE-2024-21888 (CVSS-Score: 8.8): Eine Schwachstelle in der Rechteausweitung in der Webkomponente von Ivanti Connect Secure und Ivanti Policy Secure, die es Cyberangreifern ermöglicht, Administratorrechte zu erlangen.
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

Forscher warnen auch davor, dass das Ergebnis einer Kompromittierung für Organisationen gefährlich sein kann.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling

Zeitstempel: 31. Januar 2024

Zeitstempel: 18. Dezember 2023

Neuauflage von Plato

Wyden erneuert Aufforderung, Twitter-DMs zu verschlüsseln und die Daten der Amerikaner vor unfreundlichen ausländischen Regierungen zu schützen

Bei Cyber-Resilienz geht es nicht nur um Technologie, es geht um Menschen

Zoom Zoom: „Dark Power“-Ransomware erpresst 10 Ziele in weniger als einem Monat

Die 5 wichtigsten Fähigkeiten, die moderne SOC-Teams brauchen, um erfolgreich zu sein

Experten für Cybersicherheit treiben ihre Unternehmen in Richtung Anbieterkonsolidierung und Produktintegration

Ausgeklügelte verdeckte Cyberangriffskampagne zielt auf militärische Auftragnehmer ab

Der CEO von CompTIA skizziert eine Initiative zur Schaffung eines herausragenden Ziels für den Start, den Aufbau und die „Aufladung“ einer Tech-Karriere

Linux Shift: Die chinesische APT Alloy Taurus ist mit einem Retooling zurück

Die Cybercrime-Gruppe OPERA1ER hat 11 Millionen Dollar von 16 afrikanischen Unternehmen gestohlen

Über uns

Vertikale Suche & Ai

Plattform

Bleiben Sie in Verbindung

Konto