Η Ivanti άρχισε επιτέλους να επιδιορθώνει ένα ζευγάρι τρωτών σημείων ασφαλείας zero-day που αποκαλύφθηκαν στις 10 Ιανουαρίου στις συσκευές Connect Secure VPN. Ωστόσο, ανακοίνωσε επίσης δύο επιπλέον σφάλματα σήμερα στην πλατφόρμα, το CVE-2024-21888 και το CVE-2024-21893 — το τελευταίο από τα οποία βρίσκεται επίσης υπό ενεργή εκμετάλλευση στην άγρια φύση.
Η Ivanti κυκλοφόρησε τον πρώτο γύρο των ενημερώσεων κώδικα για το αρχικό σύνολο μηδενικών ημερών (CVE-2024-21887 και CVE-2023-46805) αλλά μόνο για ορισμένες εκδόσεις? Πρόσθετες διορθώσεις θα κυκλοφορήσουν σε κλιμακωτό χρονοδιάγραμμα τις επόμενες εβδομάδες, ανέφερε η εταιρεία στην ενημερωμένη συμβουλευτική της σήμερα. Εν τω μεταξύ, η Ivanti παρείχε έναν μετριασμό που οι μη επιδιορθωμένοι οργανισμοί θα πρέπει να εφαρμόσουν αμέσως για να μην πέσουν θύματα μαζική εκμετάλλευση από κινεζικούς κρατικούς φορείς όσο και κυβερνοεγκληματίες με οικονομικά κίνητρα.
Επιθέσεις κλοπής δεδομένων αγκύρωσης πολλαπλών προσαρμοσμένων κακόβουλων προγραμμάτων
Ότι η εκμετάλλευση συνεχίζεται αμείωτη. Σύμφωνα με τη Mandiant, μια προηγμένη επίμονη απειλή (APT) που υποστηρίζεται από την Κίνα, την οποία αποκαλεί UNC5221, βρίσκεται πίσω από μια σειρά εκμεταλλεύσεων που ξεκινούν από τις αρχές Δεκεμβρίου. Ωστόσο, η δραστηριότητα γενικά έχει αυξηθεί σημαντικά από τότε που τα CVE-2024-21888 και CVE-2024-21893 δημοσιοποιήθηκαν νωρίτερα τον Ιανουάριο.
"Εκτός από το UNC5221, αναγνωρίζουμε την πιθανότητα μία ή περισσότερες σχετικές ομάδες να συνδέονται με τη δραστηριότητα", δήλωσαν οι ερευνητές της Mandiant στο μια ανάλυση κυβερνοεπίθεσης Ivanti κυκλοφόρησε σήμερα. "Είναι πιθανό ότι πρόσθετες ομάδες πέρα από το UNC5221 έχουν υιοθετήσει ένα ή περισσότερα από τα εργαλεία [που σχετίζονται με τους συμβιβασμούς]."
Σε αυτό το σημείο, η Mandiant εξέδωσε πρόσθετες πληροφορίες σχετικά με τους τύπους κακόβουλου λογισμικού που χρησιμοποιούν το UNC5221 και άλλοι παράγοντες στις επιθέσεις στα Ivanti Connect Secure VPN. Μέχρι στιγμής, τα εμφυτεύματα που παρατήρησαν στη φύση περιλαμβάνουν:
-
Μια παραλλαγή του κελύφους Web LightWire που εισάγεται σε ένα νόμιμο στοιχείο της πύλης VPN, που τώρα διαθέτει μια διαφορετική ρουτίνα συσκότισης.
-
Δύο προσαρμοσμένα κελύφη Ιστού UNC5221, που ονομάζονται «ChainLine» και «FrameSting», τα οποία είναι backdoors ενσωματωμένα σε πακέτα Ivanti Connect Secure Python που επιτρέπουν την αυθαίρετη εκτέλεση εντολών.
-
ZipLine, μια παθητική κερκόπορτα που χρησιμοποιείται από το UNC5221 που χρησιμοποιεί ένα προσαρμοσμένο, κρυπτογραφημένο πρωτόκολλο για τη δημιουργία επικοινωνιών με εντολή-και-έλεγχος (C2). Οι λειτουργίες του περιλαμβάνουν μεταφόρτωση και λήψη αρχείων, αντίστροφο κέλυφος, διακομιστή μεσολάβησης και διακομιστή διοχέτευσης σήραγγας.
-
Νέες παραλλαγές του κακόβουλου λογισμικού κλοπής διαπιστευτηρίων WarpWire, το οποίο κλέβει κωδικούς πρόσβασης και ονόματα χρήστη απλού κειμένου για διείσδυση σε έναν σκληρά κωδικοποιημένο διακομιστή C2. Το Mandiant δεν αποδίδει όλες τις παραλλαγές στο UNC5221.
-
Και πολλά εργαλεία ανοιχτού κώδικα για την υποστήριξη δραστηριοτήτων μετά την εκμετάλλευση, όπως η αναγνώριση εσωτερικού δικτύου, η πλευρική κίνηση και η εξαγωγή δεδομένων σε περιορισμένο αριθμό περιβαλλόντων θυμάτων.
«Οι φορείς εθνικών κρατών UNC5221 έχουν στοχεύσει και εκμεταλλευτεί επιτυχώς ευπάθειες στο Ivanti για να κλέψουν δεδομένα διαμόρφωσης, να τροποποιήσουν υπάρχοντα αρχεία, να κατεβάσουν απομακρυσμένα αρχεία και να αντιστρέψουν τη σήραγγα εντός δικτύων», λέει ο Ken Dunham, διευθυντής κυβερνοαπειλής στην Qualys Threat Research Unit, ο οποίος προειδοποιεί. Οι χρήστες του Ivanti να είναι σε επιφυλακή για επιθέσεις στην αλυσίδα εφοδιασμού στους πελάτες, τους συνεργάτες και τους προμηθευτές τους. «Το Ivanti πιθανότατα στοχεύεται λόγω [λόγω] της λειτουργικότητας και της αρχιτεκτονικής που παρέχει στους φορείς, εάν παραβιαστεί, ως λύση δικτύωσης και VPN, σε δίκτυα και σε μεταγενέστερους στόχους ενδιαφέροντος».
Εκτός από αυτά τα εργαλεία, οι ερευνητές της Mandiant επισήμαναν τη δραστηριότητα που χρησιμοποιεί μια παράκαμψη για την αρχική τεχνική μετριασμού του διακοπής του Ivanti, η οποία περιγράφεται λεπτομερώς στην αρχική συμβουλευτική. Σε αυτές τις επιθέσεις, άγνωστοι κυβερνοεπιτιθέμενοι αναπτύσσουν ένα προσαρμοσμένο κέλυφος διαδικτυακής κατασκοπείας που ονομάζεται "Bushwalk", το οποίο μπορεί να διαβάζει ή να γράφει σε αρχεία σε έναν διακομιστή.
«Η δραστηριότητα είναι εξαιρετικά στοχευμένη, περιορισμένη και διαφέρει από τη δραστηριότητα μαζικής εκμετάλλευσης μετά τη συμβουλευτική», σύμφωνα με τους ερευνητές, οι οποίοι παρείχαν επίσης εκτενείς δείκτες συμβιβασμού (IoC) για τους υπερασπιστές και τους κανόνες YARA.
Η Ivanti και η CISA εξέδωσαν ενημερωμένες οδηγίες μετριασμού χθες ότι οι οργανισμοί θα πρέπει να υποβάλουν αίτηση.
Δύο φρέσκα σφάλματα υψηλής σοβαρότητας μηδενικής ημέρας
Εκτός από την κυκλοφορία ενημερώσεων κώδικα για τα σφάλματα ηλικίας τριών εβδομάδων, ο Ivanti πρόσθεσε επίσης διορθώσεις για δύο νέα CVE στην ίδια συμβουλευτική. Αυτοί είναι:
-
CVE-2024-21888 (βαθμολογία CVSS: 8.8): Μια ευπάθεια κλιμάκωσης προνομίων στο στοιχείο Web του Ivanti Connect Secure και του Ivanti Policy Secure, που επιτρέπει στους κυβερνοεπιτιθέμενους να αποκτήσουν δικαιώματα διαχειριστή.
-
CVE-2024-21893 (βαθμολογία CVSS: 8.2): Μια ευπάθεια πλαστογραφίας αιτημάτων από την πλευρά του διακομιστή στο στοιχείο SAML των Ivanti Connect Secure, Ivanti Policy Secure και Ivanti Neurons για ZTA, που επιτρέπει στους κυβερνοεπιτιθέμενους να έχουν πρόσβαση σε «ορισμένους περιορισμένους πόρους χωρίς έλεγχο ταυτότητας».
Μόνο εκμεταλλεύσεις για το τελευταίο έχουν κυκλοφορήσει στη φύση και η δραστηριότητα «φαίνεται ότι είναι στοχευμένη», σύμφωνα με την συμβουλή του Ivanti, αλλά πρόσθεσε ότι οι οργανισμοί θα πρέπει «να αναμένουν απότομη αύξηση της εκμετάλλευσης μόλις αυτές οι πληροφορίες δημοσιοποιηθούν - παρόμοια με αυτά που παρατηρήσαμε στις 11 Ιανουαρίου μετά την αποκάλυψη της 10ης Ιανουαρίου.»
Ο Dunham του Qualys TRU λέει ότι αναμένει επιθέσεις από περισσότερους από τους APT: «Πολλοί παράγοντες εκμεταλλεύονται τις ευκαιρίες εκμετάλλευσης ευπάθειας προτού οι οργανισμοί επιδιορθώσουν και σκληρύνουν κατά της επίθεσης Ο Ivanti οπλίζεται από παράγοντες του έθνους-κράτους και τώρα πιθανώς από άλλους - θα πρέπει να έχει την προσοχή σας και προτεραιότητα στην ενημέρωση κώδικα, εάν χρησιμοποιείτε ευάλωτες εκδόσεις στην παραγωγή."
Οι ερευνητές προειδοποιούν επίσης ότι το αποτέλεσμα ενός συμβιβασμού μπορεί να είναι επικίνδυνο για τους οργανισμούς.
«Αυτά τα [νέα] ελαττώματα υψηλής ασφάλειας του Ivanti είναι σοβαρά [και ιδιαίτερα πολύτιμα για τους εισβολείς] και θα πρέπει να διορθωθούν αμέσως», λέει ο Patrick Tiquet, αντιπρόεδρος ασφάλειας και αρχιτεκτονικής στην Keeper Security. «Αυτά τα τρωτά σημεία, εάν αξιοποιηθούν, μπορούν να παραχωρήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα συστήματα και να θέσουν σε κίνδυνο ένα ολόκληρο δίκτυο».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :έχει
- :είναι
- :δεν
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- πρόσβαση
- Σύμφωνα με
- αναγνωρίζω
- ενεργός
- δραστηριοτήτων
- δραστηριότητα
- φορείς
- προστιθέμενη
- Επιπλέον
- Πρόσθετος
- Επιπλέον πληροφορίες
- θετός
- προηγμένες
- προηγμένη επίμονη απειλή
- Πλεονέκτημα
- συμβουλευτικός
- κατά
- ομοίως
- Όλα
- Επιτρέποντας
- Επίσης
- an
- Άγκυρα
- και
- ανακοίνωσε
- εμφανίζεται
- συσκευές
- Εφαρμογή
- APT
- αυθαίρετος
- αρχιτεκτονική
- ΕΙΝΑΙ
- AS
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- προσοχή
- Πιστοποίηση
- αποφύγετε
- πίσω
- κερκόπορτα
- Κερκόπορτες
- BE
- ήταν
- άρχισε
- πίσω
- Πέρα
- σφάλματα
- αλλά
- by
- παρακάμψει
- που ονομάζεται
- κλήσεις
- CAN
- ορισμένες
- αλυσίδα
- κινέζικο
- Κύκλος
- έλαμψε
- ερχομός
- τις επόμενες εβδομάδες
- Διαβιβάσεις
- εταίρα
- συστατικό
- συμβιβασμός
- Συμβιβασμένος
- διαμόρφωση
- Connect
- συνεχίζεται
- έθιμο
- Πελάτες
- Ηλεκτρονική επίθεση
- εγκληματίες του κυβερνοχώρου
- Επικίνδυνες
- ημερομηνία
- Δεκέμβριος
- Υπερασπιστές
- ανάπτυξη
- λεπτομερής
- διαφορετικές
- Διευθυντής
- αποκάλυψη
- διακριτή
- κάνει
- κατεβάσετε
- δυο
- Νωρίτερα
- Νωρίς
- ενσωματωμένο
- ενεργοποιήσετε
- κρυπτογραφημένα
- Ολόκληρος
- περιβάλλοντα
- κλιμάκωση
- εγκαθιδρύω
- Αιθέρας (ΕΤΗ)
- εκτέλεση
- διήθηση
- υφιστάμενα
- αναμένω
- εκμετάλλευση
- Κακοποιημένα
- εκμεταλλεύεται
- εκτενής
- Πτώση
- μακριά
- Χαρακτηρίζοντας
- Αρχεία
- Αρχεία
- Τελικά
- οικονομικά
- Όνομα
- διορθώσεις
- σημαία
- ελαττώματα
- Εξής
- Για
- φρενίτιδα
- φρέσκο
- από
- Καύσιμα
- λειτουργικότητα
- λειτουργίες
- Κέρδος
- πύλη
- General
- μετάβαση
- χορηγεί
- Ομάδα
- Έχω
- υψηλά
- Ωστόσο
- HTTPS
- ICON
- if
- αμέσως
- in
- περιλαμβάνουν
- Αυξάνουν
- δείκτες
- πληροφορίες
- αρχικός
- Ένθετα
- τόκος
- εσωτερικός
- σε
- Εκδόθηκε
- IT
- ΤΟΥ
- εαυτό
- Ιβάντι
- Ιανουάριος
- Ιανουάριος
- jpg
- μόλις
- νόμιμος
- Μου αρέσει
- Πιθανός
- Περιωρισμένος
- που
- malware
- Μάζα
- Ενδέχεται..
- Εντομεταξύ
- μείωση
- τροποποιήσει
- περισσότερο
- κίνητρα
- κίνηση
- πολλαπλούς
- δίκτυο
- δικτύωσης
- δίκτυα
- Νευρώνες
- Νέα
- τώρα
- αριθμός
- παρατηρούμενη
- of
- on
- μια φορά
- ONE
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- Ευκαιρίες
- or
- οργανώσεις
- πρωτότυπο
- ΑΛΛΑ
- Άλλα
- έξω
- Packages
- ζεύγος
- ιδιαίτερα
- Συνεργάτες
- παθητικός
- Κωδικοί πρόσβασης
- Patch
- Patches
- Διόρθωση
- Πατρίκιος
- Απλό κείμενο
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- πολιτική
- δυνατότητα
- πρόεδρος
- Πριν
- προτεραιότητα
- προνόμιο
- προνόμια
- παραγωγή
- πρωτόκολλο
- παρέχεται
- παρέχει
- πληρεξούσιο
- δημόσιο
- Python
- RE
- Διάβασε
- σχετίζεται με
- κυκλοφόρησε
- μακρινός
- ζητήσει
- έρευνα
- ερευνητές
- Υποστηρικτικό υλικό
- περιορισμένος
- αποτέλεσμα
- αντιστρέψει
- Ρολό
- Κυλιομένος
- γύρος
- ρουτίνα
- κανόνες
- s
- Είπε
- ίδιο
- λέει
- πρόγραμμα
- σκορ
- προστατευμένο περιβάλλον
- ασφάλεια
- ευαίσθητος
- σοβαρός
- διακομιστής
- σειρά
- αιχμηρά
- κέλυφος
- θα πρέπει να
- παρόμοιες
- αφού
- So
- μέχρι τώρα
- λύση
- μερικοί
- Πηγή
- κλέβει
- Επιτυχώς
- προμηθευτές
- προμήθεια
- αλυσίδας εφοδιασμού
- υποστήριξη
- συστήματα
- λήψη
- στοχευμένες
- στόχους
- τεχνική
- από
- ότι
- Η
- κλοπή
- τους
- Αυτοί
- αυτοί
- αυτό
- απειλή
- προς την
- σήμερα
- εργαλεία
- TRU
- σήραγγα
- δύο
- τύποι
- ανεξουσιοδότητος
- υπό
- μονάδα
- άγνωστος
- ενημερώθηκε
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- Πολύτιμος
- Παραλλαγή
- εκδόσεις
- μέγγενη
- Vice President
- Θύμα
- VPN
- VPN
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- Προειδοποιεί
- we
- ιστός
- Εβδ.
- ήταν
- Τι
- Ποιό
- Ο ΟΠΟΊΟΣ
- Άγριος
- θα
- με
- εντός
- χωρίς
- γράφω
- χτες
- εσείς
- Σας
- zephyrnet