Περισσότερα Ivanti VPN Zero-Days Fuel Attack Frenzy as Patches τελικά Roll

Η Ivanti άρχισε επιτέλους να επιδιορθώνει ένα ζευγάρι τρωτών σημείων ασφαλείας zero-day που αποκαλύφθηκαν στις 10 Ιανουαρίου στις συσκευές Connect Secure VPN. Ωστόσο, ανακοίνωσε επίσης δύο επιπλέον σφάλματα σήμερα στην πλατφόρμα, το CVE-2024-21888 και το CVE-2024-21893 — το τελευταίο από τα οποία βρίσκεται επίσης υπό ενεργή εκμετάλλευση στην άγρια ​​φύση.

Η Ivanti κυκλοφόρησε τον πρώτο γύρο των ενημερώσεων κώδικα για το αρχικό σύνολο μηδενικών ημερών (CVE-2024-21887 και CVE-2023-46805) αλλά μόνο για ορισμένες εκδόσεις? Πρόσθετες διορθώσεις θα κυκλοφορήσουν σε κλιμακωτό χρονοδιάγραμμα τις επόμενες εβδομάδες, ανέφερε η εταιρεία στην ενημερωμένη συμβουλευτική της σήμερα. Εν τω μεταξύ, η Ivanti παρείχε έναν μετριασμό που οι μη επιδιορθωμένοι οργανισμοί θα πρέπει να εφαρμόσουν αμέσως για να μην πέσουν θύματα μαζική εκμετάλλευση από κινεζικούς κρατικούς φορείς όσο και κυβερνοεγκληματίες με οικονομικά κίνητρα.

Επιθέσεις κλοπής δεδομένων αγκύρωσης πολλαπλών προσαρμοσμένων κακόβουλων προγραμμάτων

Ότι η εκμετάλλευση συνεχίζεται αμείωτη. Σύμφωνα με τη Mandiant, μια προηγμένη επίμονη απειλή (APT) που υποστηρίζεται από την Κίνα, την οποία αποκαλεί UNC5221, βρίσκεται πίσω από μια σειρά εκμεταλλεύσεων που ξεκινούν από τις αρχές Δεκεμβρίου. Ωστόσο, η δραστηριότητα γενικά έχει αυξηθεί σημαντικά από τότε που τα CVE-2024-21888 και CVE-2024-21893 δημοσιοποιήθηκαν νωρίτερα τον Ιανουάριο.

"Εκτός από το UNC5221, αναγνωρίζουμε την πιθανότητα μία ή περισσότερες σχετικές ομάδες να συνδέονται με τη δραστηριότητα", δήλωσαν οι ερευνητές της Mandiant στο μια ανάλυση κυβερνοεπίθεσης Ivanti κυκλοφόρησε σήμερα. "Είναι πιθανό ότι πρόσθετες ομάδες πέρα ​​από το UNC5221 έχουν υιοθετήσει ένα ή περισσότερα από τα εργαλεία [που σχετίζονται με τους συμβιβασμούς]."

Σε αυτό το σημείο, η Mandiant εξέδωσε πρόσθετες πληροφορίες σχετικά με τους τύπους κακόβουλου λογισμικού που χρησιμοποιούν το UNC5221 και άλλοι παράγοντες στις επιθέσεις στα Ivanti Connect Secure VPN. Μέχρι στιγμής, τα εμφυτεύματα που παρατήρησαν στη φύση περιλαμβάνουν:

«Οι φορείς εθνικών κρατών UNC5221 έχουν στοχεύσει και εκμεταλλευτεί επιτυχώς ευπάθειες στο Ivanti για να κλέψουν δεδομένα διαμόρφωσης, να τροποποιήσουν υπάρχοντα αρχεία, να κατεβάσουν απομακρυσμένα αρχεία και να αντιστρέψουν τη σήραγγα εντός δικτύων», λέει ο Ken Dunham, διευθυντής κυβερνοαπειλής στην Qualys Threat Research Unit, ο οποίος προειδοποιεί. Οι χρήστες του Ivanti να είναι σε επιφυλακή για επιθέσεις στην αλυσίδα εφοδιασμού στους πελάτες, τους συνεργάτες και τους προμηθευτές τους. «Το Ivanti πιθανότατα στοχεύεται λόγω [λόγω] της λειτουργικότητας και της αρχιτεκτονικής που παρέχει στους φορείς, εάν παραβιαστεί, ως λύση δικτύωσης και VPN, σε δίκτυα και σε μεταγενέστερους στόχους ενδιαφέροντος».

Εκτός από αυτά τα εργαλεία, οι ερευνητές της Mandiant επισήμαναν τη δραστηριότητα που χρησιμοποιεί μια παράκαμψη για την αρχική τεχνική μετριασμού του διακοπής του Ivanti, η οποία περιγράφεται λεπτομερώς στην αρχική συμβουλευτική. Σε αυτές τις επιθέσεις, άγνωστοι κυβερνοεπιτιθέμενοι αναπτύσσουν ένα προσαρμοσμένο κέλυφος διαδικτυακής κατασκοπείας που ονομάζεται "Bushwalk", το οποίο μπορεί να διαβάζει ή να γράφει σε αρχεία σε έναν διακομιστή.

«Η δραστηριότητα είναι εξαιρετικά στοχευμένη, περιορισμένη και διαφέρει από τη δραστηριότητα μαζικής εκμετάλλευσης μετά τη συμβουλευτική», σύμφωνα με τους ερευνητές, οι οποίοι παρείχαν επίσης εκτενείς δείκτες συμβιβασμού (IoC) για τους υπερασπιστές και τους κανόνες YARA.

Η Ivanti και η CISA εξέδωσαν ενημερωμένες οδηγίες μετριασμού χθες ότι οι οργανισμοί θα πρέπει να υποβάλουν αίτηση.

Δύο φρέσκα σφάλματα υψηλής σοβαρότητας μηδενικής ημέρας

Εκτός από την κυκλοφορία ενημερώσεων κώδικα για τα σφάλματα ηλικίας τριών εβδομάδων, ο Ivanti πρόσθεσε επίσης διορθώσεις για δύο νέα CVE στην ίδια συμβουλευτική. Αυτοί είναι:

Μόνο εκμεταλλεύσεις για το τελευταίο έχουν κυκλοφορήσει στη φύση και η δραστηριότητα «φαίνεται ότι είναι στοχευμένη», σύμφωνα με την συμβουλή του Ivanti, αλλά πρόσθεσε ότι οι οργανισμοί θα πρέπει «να αναμένουν απότομη αύξηση της εκμετάλλευσης μόλις αυτές οι πληροφορίες δημοσιοποιηθούν - παρόμοια με αυτά που παρατηρήσαμε στις 11 Ιανουαρίου μετά την αποκάλυψη της 10ης Ιανουαρίου.»

Ο Dunham του Qualys TRU λέει ότι αναμένει επιθέσεις από περισσότερους από τους APT: «Πολλοί παράγοντες εκμεταλλεύονται τις ευκαιρίες εκμετάλλευσης ευπάθειας προτού οι οργανισμοί επιδιορθώσουν και σκληρύνουν κατά της επίθεσης Ο Ivanti οπλίζεται από παράγοντες του έθνους-κράτους και τώρα πιθανώς από άλλους - θα πρέπει να έχει την προσοχή σας και προτεραιότητα στην ενημέρωση κώδικα, εάν χρησιμοποιείτε ευάλωτες εκδόσεις στην παραγωγή."

Οι ερευνητές προειδοποιούν επίσης ότι το αποτέλεσμα ενός συμβιβασμού μπορεί να είναι επικίνδυνο για τους οργανισμούς.

«Αυτά τα [νέα] ελαττώματα υψηλής ασφάλειας του Ivanti είναι σοβαρά [και ιδιαίτερα πολύτιμα για τους εισβολείς] και θα πρέπει να διορθωθούν αμέσως», λέει ο Patrick Tiquet, αντιπρόεδρος ασφάλειας και αρχιτεκτονικής στην Keeper Security. «Αυτά τα τρωτά σημεία, εάν αξιοποιηθούν, μπορούν να παραχωρήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα συστήματα και να θέσουν σε κίνδυνο ένα ολόκληρο δίκτυο».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling