Rohkem Ivanti VPN Zero-Days Fuel Attack Frenzy kui plaastrid lõpuks veerevad

Rohkem Ivanti VPN Zero-Days Fuel Attack Frenzy kui plaastrid lõpuks veerevad

Ajatempel: 31. jaanuar 2024 3:25
Allikasõlm: 3090562

Ivanti on lõpuks alustanud oma Connect Secure VPN-seadmetes 10. jaanuaril avalikustatud nullpäeva turvaaukude parandamist. Siiski teatas ta täna ka kahest täiendavast veast platvormis, CVE-2024-21888 ja CVE-2024-21893 – viimast kasutatakse ka looduses aktiivselt.

Ivanti on välja andnud oma esimese plaastrite ringi algse nullpäevade komplekti jaoks (CVE-2024-21887 ja CVE-2023-46805), kuid ainult mõne versiooni puhul; Täiendavad parandused võetakse lähinädalatel kasutusele järk-järgult, teatas ettevõte oma täna uuendatud nõuandes. Vahepeal on Ivanti pakkunud leevendust, et paigatamata organisatsioonid peaksid viivitamatult taotlema, et vältida ohvriks langemist. massiline ärakasutamine Hiina riiklikult toetatud osalejate poolt ja rahaliselt motiveeritud küberkurjategijad.

Mitu kohandatud pahavara ankru andmevarguse rünnakut

Et ekspluateerimine jätkub lakkamatult. Mandianti sõnul on Hiina toetatud arenenud püsiv oht (APT), mida nimetatakse UNC5221-ks, olnud paljude ekspluateerimiste taga juba detsembri alguses. Kuid üldiselt on tegevus märkimisväärselt tõusnud pärast seda, kui CVE-2024-21888 ja CVE-2024-21893 avalikustati jaanuaris.

"Lisaks UNC5221-le tunnistame võimalust, et tegevusega võib olla seotud üks või mitu seotud rühma," ütlesid Mandianti teadlased. Ivanti küberrünnakute analüüs vabastatakse täna. "On tõenäoline, et täiendavad rühmad peale UNC5221 on kasutusele võtnud ühe või mitu [kompromissidega seotud] tööriista."

Selle hetkeni väljastas Mandiant lisateavet pahavara tüüpide kohta, mida UNC5221 ja teised osalejad kasutavad Ivanti Connecti turvaliste VPN-ide rünnakutes. Siiani on looduses vaadeldud implantaatide hulgas:

  • LightWire'i veebikesta variant, mis sisestab end VPN-lüüsi seaduslikku komponenti ja millel on nüüd erinev hägustamisrutiin.

  • Kaks UNC5221 kohandatud veebikest, mida nimetatakse "ChainLine" ja "FrameSting", mis on Ivanti Connecti turvalise Pythoni pakettidesse manustatud tagauksed, mis võimaldavad suvalise käsu täitmist.

  • ZipLine, passiivne tagauks, mida kasutab UNC5221 ja mis kasutab käsu- ja juhtimisega (C2) side loomiseks kohandatud krüptitud protokolli. Selle funktsioonid hõlmavad failide üles- ja allalaadimist, pöördkestat, puhverserverit ja tunneliserverit.

  • WarpWire'i mandaadivarguse pahavara uued variandid, mis varastavad lihttekstina kasutatavaid paroole ja kasutajanimesid, et neid kõvakodeeritud C2 serverisse eksfiltreerida. Mandiant ei omista kõiki variante UNC5221-le.

  • Ja mitmed avatud lähtekoodiga tööriistad, mis toetavad ärakasutamisjärgseid tegevusi, nagu sisevõrgu luure, külgsuunaline liikumine ja andmete väljafiltreerimine piiratud arvu ohvrite keskkondades.

"Riigiriikide osalejad UNC5221 on edukalt sihikule võtnud ja ära kasutanud Ivanti turvaauke, et varastada konfiguratsiooniandmeid, muuta olemasolevaid faile, alla laadida kaugfaile ja pöörata võrkudes tunnelit tagasi," hoiatab Qualys Threat Research Unit küberohtude direktor Ken Dunham. Ivanti kasutajad peavad jälgima tarneahela rünnakuid oma klientide, partnerite ja tarnijate vastu. "Ivanti on tõenäoliselt sihitud selle funktsionaalsuse ja arhitektuuri tõttu, mida see võrgu- ja VPN-lahendusena pakub võrgu- ja VPN-lahendusena, kui see on ohus, võrkudesse ja huvipakkuvatesse sihtmärkidesse."

Lisaks nendele tööriistadele märkisid Mandianti teadlased tegevust, mis kasutab Ivanti esialgses nõuannetes üksikasjalikult kirjeldatud esialgses lünkade leevendamise tehnikas ümbersõitu; Nende rünnakute puhul võtavad tundmatud küberründajad kasutusele kohandatud küberspionaaži veebikesta nimega "Bushwalk", mis suudab lugeda või kirjutada faile serverisse.

"Tegevus on väga sihipärane, piiratud ja erineb nõuandejärgsest massilisest ekspluateerimisest," väidavad teadlased, kes pakkusid kaitsjatele ka ulatuslikke kompromissinäitajaid (IoC) ja YARA reegleid.

Ivanti ja CISA avaldasid uuendatud leevendusjuhised eile, et organisatsioonid peaksid kandideerima.

Kaks värsket väga tõsist nullpäeva viga

Lisaks kolme nädala vanuste vigade paikade väljalaskmisele lisas Ivanti samasse nõuandesse ka kahe uue CVE parandused. Nemad on:

  • CVE-2024-21888 (CVSS skoor: 8.8): õiguste eskalatsiooni haavatavus Ivanti Connect Secure'i ja Ivanti Policy Secure'i veebikomponendis, mis võimaldab küberründajatel omandada administraatoriõigusi.

  • CVE-2024-21893 (CVSS skoor: 8.2): serveripoolne päringu võltsimise haavatavus Ivanti Connect Secure'i, Ivanti Policy Secure'i ja Ivanti Neurons for ZTA SAML-i komponendis, mis võimaldab küberründajatel pääseda juurde „teatud piiratud ressurssidele ilma autentimiseta”.

Looduses on levinud ainult viimaste jaoks tehtud ekspluatatsioonid ja Ivanti nõuande kohaselt näib see tegevus olevat sihitud, kuid lisas, et organisatsioonid peaksid ootama ärakasutamise järsku suurenemist, kui see teave avalikustatakse – sarnaselt sellega, mida me täheldasime. 11. jaanuaril pärast 10. jaanuari avalikustamist.

Qualys TRU Dunham ütleb, et oodatakse rünnakuid enamalt kui lihtsalt APT-delt: "Mitmed osalejad kasutavad ära haavatavuse ärakasutamise võimalusi enne, kui organisatsioonid lappivad ja karastavad rünnakuid. Ivanti relvastavad rahvusriikide osalejad ja nüüd tõenäoliselt ka teised – see peaks olema teie tähelepanu ja paika panna prioriteet, kui kasutate tootmises haavatavaid versioone.

Teadlased hoiatavad ka, et kompromissi tulemus võib olla organisatsioonidele ohtlik.

"Need [uued] Ivanti kõrge turvalisuse vead on tõsised [ja ründajate jaoks eriti väärtuslikud] ning need tuleks kohe parandada," ütleb Keeper Security turvalisuse ja arhitektuuri asepresident Patrick Tiquet. "Need haavatavused võivad, kui neid ära kasutatakse, anda volitamata juurdepääsu tundlikele süsteemidele ja ohustada kogu võrku."

Ajatempel:

Veel alates Tume lugemine