ایوانتی سرانجام اصلاح یک جفت آسیبپذیری امنیتی روز صفر را که در 10 ژانویه در دستگاههای Connect Secure VPN افشا شده بود، آغاز کرد. با این حال، امروز دو باگ اضافی را نیز در این پلتفرم اعلام کرد، CVE-2024-21888 و CVE-2024-21893 – که مورد آخر نیز در طبیعت تحت بهره برداری فعال است.
Ivanti اولین دور پچ های خود را منتشر کرد برای مجموعه اصلی روزهای صفر (CVE-2024-21887 و CVE-2023-46805) اما فقط برای برخی از نسخه ها. این شرکت در مشاوره به روز شده امروز خود اعلام کرد که اصلاحات اضافی در هفته های آینده در یک برنامه ریزی سرسام آور ارائه خواهند شد. در این بین، ایوانتی راهکاری را ارائه کرده است که سازمانهای اصلاح نشده باید فوراً برای جلوگیری از قربانی شدن آن اعمال کنند. استثمار گسترده توسط بازیگران تحت حمایت دولت چین و مجرمان سایبری با انگیزه مالی به طور یکسان.
چند بدافزار سفارشی حملات سرقت داده را لنگر میاندازند
که بهره برداری بی وقفه ادامه دارد. به گفته Mandiant، یک تهدید دائمی پیشرفته (APT) با حمایت چین که UNC5221 نامیده میشود، پشت مجموعهای از بهرهبرداریها از اوایل دسامبر بوده است. اما فعالیت به طور کلی از زمان انتشار عمومی CVE-2024-21888 و CVE-2024-21893 در اوایل ژانویه به طور قابل توجهی افزایش یافته است.
محققان Mandiant گفتند: «علاوه بر UNC5221، ما این احتمال را میپذیریم که یک یا چند گروه مرتبط ممکن است با این فعالیت مرتبط باشند. تحلیل حمله سایبری ایوانتی امروز منتشر شد این احتمال وجود دارد که گروههای دیگری فراتر از UNC5221 یک یا چند ابزار [مرتبط با سازشها] را اتخاذ کرده باشند.»
در آن نقطه، Mandiant اطلاعات بیشتری در مورد انواع بدافزارهایی که UNC5221 و سایر بازیگران در حملات به VPN های امن Ivanti Connect استفاده می کنند، منتشر کرد. تاکنون، ایمپلنت هایی که آنها در طبیعت مشاهده کرده اند عبارتند از:
-
گونهای از پوسته Web LightWire که خود را در یک مؤلفه قانونی دروازه VPN وارد میکند و اکنون دارای یک روال مبهمسازی متفاوت است.
-
دو پوسته وب سفارشی UNC5221 به نامهای «ChainLine» و «FrameSting» که دربهای پشتی تعبیهشده در بستههای Ivanti Connect Secure Python هستند که اجرای دستور دلخواه را امکانپذیر میکنند.
-
ZipLine، یک درب پشتی غیرفعال مورد استفاده توسط UNC5221 که از یک پروتکل رمزگذاری شده سفارشی برای برقراری ارتباط با فرمان و کنترل (C2) استفاده می کند. توابع آن شامل آپلود و دانلود فایل، پوسته معکوس، سرور پروکسی و سرور تونل سازی است.
-
انواع جدیدی از بدافزار سرقت اعتبار WarpWire که رمزهای عبور متن ساده و نامهای کاربری را برای انتقال به سرور C2 با کد سخت میدزدد. Mandiant همه انواع را به UNC5221 نسبت نمی دهد.
-
و چندین ابزار منبع باز برای پشتیبانی از فعالیتهای پس از بهرهبرداری مانند شناسایی شبکه داخلی، حرکت جانبی و استخراج داده در تعداد محدودی از محیطهای قربانی.
کن دانهام، مدیر تهدیدات سایبری در واحد تحقیقات Qualys Threat که هشدار میدهد، بازیگران دولتی UNC5221 با موفقیت آسیبپذیریهای Ivanti را برای سرقت دادههای پیکربندی، اصلاح فایلهای موجود، دانلود فایلهای از راه دور و معکوس کردن تونل در شبکهها مورد هدف قرار داده و از آنها سوء استفاده کردهاند. کاربران Ivanti مراقب حملات زنجیره تامین به مشتریان، شرکا و تامین کنندگان خود باشند. ایوانتی احتمالاً به دلیل عملکرد و معماری مورد هدف قرار میگیرد که در صورت به خطر افتادن، به عنوان یک راهحل شبکه و VPN، در شبکهها و اهداف پاییندستی مورد علاقه، بازیگران را ارائه میدهد.»
علاوه بر این ابزارها، محققان Mandiant فعالیتی را که از یک بای پس برای تکنیک کاهش توقف اولیه ایوانتی استفاده میکند، که در توصیه اولیه به تفصیل شرح داده شده است، علامتگذاری کردند. در این حملات، مهاجمان سایبری ناشناس یک پوسته جاسوسی سایبری سفارشی به نام «Bushwalk» را مستقر میکنند که میتواند فایلها را روی سرور بخواند یا بنویسد.
به گفته محققان، که شاخص های گسترده ای از سازش (IoCs) برای مدافعان و قوانین YARA را نیز ارائه کردند، «این فعالیت بسیار هدفمند، محدود و متمایز از فعالیت استثمار انبوه پس از مشاوره است».
ایوانتی و CISA دستورالعمل کاهش به روز شده را منتشر کردند دیروز که سازمان ها باید درخواست دهند.
دو باگ جدید با شدت بالا در روز صفر
ایوانتی علاوه بر ارائه وصلههایی برای باگهای سه هفتهای، اصلاحاتی را برای دو CVE جدید نیز به همین توصیه اضافه کرد. آن ها هستند:
-
CVE-2024-21888 (امتیاز CVSS: 8.8): یک آسیبپذیری افزایش امتیاز در مؤلفه وب Ivanti Connect Secure و Ivanti Policy Secure که به مهاجمان سایبری اجازه میدهد تا امتیازات سرپرست را به دست آورند.
-
CVE-2024-21893 (امتیاز CVSS: 8.2): یک آسیبپذیری جعل درخواست سمت سرور در مؤلفه SAML Ivanti Connect Secure، Ivanti Policy Secure، و Ivanti Neurons برای ZTA، که به مهاجمان سایبری اجازه میدهد تا به «منابع محدود خاص بدون احراز هویت» دسترسی داشته باشند.
طبق توصیه ایوانتی، فقط اکسپلویتهایی برای دومی در طبیعت منتشر شده است، و طبق توصیه ایوانتی، فعالیت «به نظر میرسد هدفمند است»، اما اضافه کرد که سازمانها باید «بهمحض عمومی شدن این اطلاعات، انتظار افزایش شدید بهرهبرداری را داشته باشند – مشابه آنچه مشاهده کردیم. در 11 ژانویه پس از افشای 10 ژانویه.
Dunham از Qualys TRU میگوید انتظار حملات بیش از APTها را داشته باشید: «چند بازیگر از فرصتهای بهرهبرداری از آسیبپذیری استفاده میکنند قبل از اینکه سازمانها در برابر حمله وصله کنند و سختتر شوند. اگر از نسخههای آسیبپذیر در تولید استفاده میکنید، اولویت وصله است.»
محققان همچنین هشدار می دهند که نتیجه یک مصالحه می تواند برای سازمان ها خطرناک باشد.
Patrick Tiquet، معاون امنیت و معماری در Keeper Security میگوید: «این نقصهای [جدید] ایوانتی با امنیت بالا جدی هستند [و مخصوصاً برای مهاجمان ارزشمند] و باید فوراً اصلاح شوند. این آسیبپذیریها، در صورت بهرهبرداری، میتوانند به سیستمهای حساس دسترسی غیرمجاز بدهند و کل شبکه را در معرض خطر قرار دهند.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- : دارد
- :است
- :نه
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- دسترسی
- مطابق
- اذعان
- فعال
- فعالیت ها
- فعالیت
- بازیگران
- اضافه
- اضافه
- اضافی
- اطلاعات اضافی
- به تصویب رسید
- پیشرفته
- تهدید مداوم پیشرفته
- مزیت - فایده - سود - منفعت
- مشاوره
- در برابر
- به طور یکسان
- معرفی
- اجازه دادن
- همچنین
- an
- لنگر
- و
- اعلام کرد
- ظاهر می شود
- لوازم
- درخواست
- APT
- دلخواه
- معماری
- هستند
- AS
- مرتبط است
- At
- حمله
- حمله
- توجه
- تصدیق
- اجتناب از
- به عقب
- درپشتی
- پشتيباني
- BE
- بوده
- شروع شد
- پشت سر
- خارج از
- اشکالات
- اما
- by
- گذرگاه
- نام
- تماس ها
- CAN
- معین
- زنجیر
- چینی
- دایره
- CISA
- آینده
- هفته های آینده
- ارتباطات
- شرکت
- جزء
- سازش
- در معرض خطر
- پیکر بندی
- اتصال
- ادامه
- سفارشی
- مشتریان
- حمله سایبری
- مجرمان سایبری
- خطرناک
- داده ها
- دسامبر
- مدافعان
- استقرار
- دقیق
- مختلف
- مدیر
- افشاء
- متمایز
- میکند
- دانلود
- دو
- پیش از آن
- در اوایل
- جاسازی شده
- قادر ساختن
- رمزگذاری
- تمام
- محیط
- تشدید
- ایجاد
- اتر (ETH)
- اعدام
- استخراج
- موجود
- انتظار
- بهره برداری
- سوء استفاده قرار گیرد
- سوء استفاده
- وسیع
- سقوط
- بسیار
- ویژگی های
- پرونده
- فایل ها
- سرانجام
- به لحاظ مالی
- نام خانوادگی
- ثابت
- پرچم گذاری شده
- معایب
- پیروی
- برای
- دیوانگی
- تازه
- از جانب
- سوخت
- قابلیت
- توابع
- افزایش
- دروازه
- سوالات عمومی
- رفتن
- اعطا کردن
- گروه ها
- آیا
- خیلی
- اما
- HTTPS
- ICON
- if
- بلافاصله
- in
- شامل
- افزایش
- شاخص ها
- اطلاعات
- اول
- درج می کند
- علاقه
- داخلی
- به
- صادر
- IT
- ITS
- خود
- ایوانتی
- ژان
- ژانویه
- JPG
- تنها
- قانونی
- پسندیدن
- احتمالا
- محدود شده
- ساخته
- نرم افزارهای مخرب
- توده
- ممکن است..
- در ضمن
- کاهش
- تغییر
- بیش
- انگیزه
- جنبش
- چندگانه
- شبکه
- شبکه
- شبکه
- نورون ها
- جدید
- اکنون
- عدد
- مشاهده
- of
- on
- یک بار
- ONE
- فقط
- باز کن
- منبع باز
- فرصت ها
- or
- سازمان های
- اصلی
- دیگر
- دیگران
- خارج
- بسته
- جفت
- ویژه
- شرکای
- غیر فعال
- کلمه عبور
- وصله
- پچ های
- پچ کردن
- پاتریک
- متن ساده
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- سیاست
- امکان
- رئيس جمهور
- قبلا
- اولویت
- امتیاز
- امتیازات
- تولید
- پروتکل
- ارائه
- فراهم می کند
- پروکسی
- عمومی
- پــایتــون
- RE
- خواندن
- مربوط
- منتشر شد
- دور
- درخواست
- تحقیق
- محققان
- منابع
- منحصر
- نتیجه
- معکوس
- نورد
- نورد
- دور
- روال
- قوانین
- s
- سعید
- همان
- می گوید:
- برنامه
- نمره
- امن
- تیم امنیت لاتاری
- حساس
- جدی
- سرور
- تنظیم
- تیز
- صدف
- باید
- مشابه
- پس از
- So
- تا حالا
- راه حل
- برخی از
- منبع
- سرقت می کند
- موفقیت
- تامین کنندگان
- عرضه
- زنجیره تامین
- پشتیبانی
- سیستم های
- مصرف
- هدف قرار
- اهداف
- تکنیک
- نسبت به
- که
- La
- سرقت
- شان
- اینها
- آنها
- این
- تهدید
- به
- امروز
- ابزار
- TRU
- تونل
- دو
- انواع
- غیر مجاز
- زیر
- واحد
- ناشناخته
- به روز شده
- استفاده
- کاربران
- استفاده
- با استفاده از
- ارزشمند
- نوع دیگر
- نسخه
- معاون
- معاون رئیس جمهور
- قربانی
- VPN
- VPN ها
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- هشدارها
- we
- وب
- هفته
- بود
- چی
- که
- WHO
- وحشی
- اراده
- با
- در داخل
- بدون
- نوشتن
- دیروز
- شما
- شما
- زفیرنت