بیشتر Ivanti VPN Zero-Days Fuel Attack Frenzy به عنوان وصله ها در نهایت رول

بیشتر Ivanti VPN Zero-Days Fuel Attack Frenzy به عنوان وصله ها در نهایت رول

تمبر زمان: 31 ژانویه 2024، ساعت 3:25 بعد از ظهر
گره منبع: 3090562

ایوانتی سرانجام اصلاح یک جفت آسیب‌پذیری امنیتی روز صفر را که در 10 ژانویه در دستگاه‌های Connect Secure VPN افشا شده بود، آغاز کرد. با این حال، امروز دو باگ اضافی را نیز در این پلتفرم اعلام کرد، CVE-2024-21888 و CVE-2024-21893 – که مورد آخر نیز در طبیعت تحت بهره برداری فعال است.

Ivanti اولین دور پچ های خود را منتشر کرد برای مجموعه اصلی روزهای صفر (CVE-2024-21887 و CVE-2023-46805) اما فقط برای برخی از نسخه ها. این شرکت در مشاوره به روز شده امروز خود اعلام کرد که اصلاحات اضافی در هفته های آینده در یک برنامه ریزی سرسام آور ارائه خواهند شد. در این بین، ایوانتی راهکاری را ارائه کرده است که سازمان‌های اصلاح نشده باید فوراً برای جلوگیری از قربانی شدن آن اعمال کنند. استثمار گسترده توسط بازیگران تحت حمایت دولت چین و مجرمان سایبری با انگیزه مالی به طور یکسان.

چند بدافزار سفارشی حملات سرقت داده را لنگر می‌اندازند

که بهره برداری بی وقفه ادامه دارد. به گفته Mandiant، یک تهدید دائمی پیشرفته (APT) با حمایت چین که UNC5221 نامیده می‌شود، پشت مجموعه‌ای از بهره‌برداری‌ها از اوایل دسامبر بوده است. اما فعالیت به طور کلی از زمان انتشار عمومی CVE-2024-21888 و CVE-2024-21893 در اوایل ژانویه به طور قابل توجهی افزایش یافته است.

محققان Mandiant گفتند: «علاوه بر UNC5221، ما این احتمال را می‌پذیریم که یک یا چند گروه مرتبط ممکن است با این فعالیت مرتبط باشند. تحلیل حمله سایبری ایوانتی امروز منتشر شد این احتمال وجود دارد که گروه‌های دیگری فراتر از UNC5221 یک یا چند ابزار [مرتبط با سازش‌ها] را اتخاذ کرده باشند.»

در آن نقطه، Mandiant اطلاعات بیشتری در مورد انواع بدافزارهایی که UNC5221 و سایر بازیگران در حملات به VPN های امن Ivanti Connect استفاده می کنند، منتشر کرد. تاکنون، ایمپلنت هایی که آنها در طبیعت مشاهده کرده اند عبارتند از:

  • گونه‌ای از پوسته Web LightWire که خود را در یک مؤلفه قانونی دروازه VPN وارد می‌کند و اکنون دارای یک روال مبهم‌سازی متفاوت است.

  • دو پوسته وب سفارشی UNC5221 به نام‌های «ChainLine» و «FrameSting» که درب‌های پشتی تعبیه‌شده در بسته‌های Ivanti Connect Secure Python هستند که اجرای دستور دلخواه را امکان‌پذیر می‌کنند.

  • ZipLine، یک درب پشتی غیرفعال مورد استفاده توسط UNC5221 که از یک پروتکل رمزگذاری شده سفارشی برای برقراری ارتباط با فرمان و کنترل (C2) استفاده می کند. توابع آن شامل آپلود و دانلود فایل، پوسته معکوس، سرور پروکسی و سرور تونل سازی است.

  • انواع جدیدی از بدافزار سرقت اعتبار WarpWire که رمزهای عبور متن ساده و نام‌های کاربری را برای انتقال به سرور C2 با کد سخت می‌دزدد. Mandiant همه انواع را به UNC5221 نسبت نمی دهد.

  • و چندین ابزار منبع باز برای پشتیبانی از فعالیت‌های پس از بهره‌برداری مانند شناسایی شبکه داخلی، حرکت جانبی و استخراج داده در تعداد محدودی از محیط‌های قربانی.

کن دانهام، مدیر تهدیدات سایبری در واحد تحقیقات Qualys Threat که هشدار می‌دهد، بازیگران دولتی UNC5221 با موفقیت آسیب‌پذیری‌های Ivanti را برای سرقت داده‌های پیکربندی، اصلاح فایل‌های موجود، دانلود فایل‌های از راه دور و معکوس کردن تونل در شبکه‌ها مورد هدف قرار داده و از آنها سوء استفاده کرده‌اند. کاربران Ivanti مراقب حملات زنجیره تامین به مشتریان، شرکا و تامین کنندگان خود باشند. ایوانتی احتمالاً به دلیل عملکرد و معماری مورد هدف قرار می‌گیرد که در صورت به خطر افتادن، به عنوان یک راه‌حل شبکه و VPN، در شبکه‌ها و اهداف پایین‌دستی مورد علاقه، بازیگران را ارائه می‌دهد.»

علاوه بر این ابزارها، محققان Mandiant فعالیتی را که از یک بای پس برای تکنیک کاهش توقف اولیه ایوانتی استفاده می‌کند، که در توصیه اولیه به تفصیل شرح داده شده است، علامت‌گذاری کردند. در این حملات، مهاجمان سایبری ناشناس یک پوسته جاسوسی سایبری سفارشی به نام «Bushwalk» را مستقر می‌کنند که می‌تواند فایل‌ها را روی سرور بخواند یا بنویسد.

به گفته محققان، که شاخص های گسترده ای از سازش (IoCs) برای مدافعان و قوانین YARA را نیز ارائه کردند، «این فعالیت بسیار هدفمند، محدود و متمایز از فعالیت استثمار انبوه پس از مشاوره است».

ایوانتی و CISA دستورالعمل کاهش به روز شده را منتشر کردند دیروز که سازمان ها باید درخواست دهند.

دو باگ جدید با شدت بالا در روز صفر

ایوانتی علاوه بر ارائه وصله‌هایی برای باگ‌های سه هفته‌ای، اصلاحاتی را برای دو CVE جدید نیز به همین توصیه اضافه کرد. آن ها هستند:

  • CVE-2024-21888 (امتیاز CVSS: 8.8): یک آسیب‌پذیری افزایش امتیاز در مؤلفه وب Ivanti Connect Secure و Ivanti Policy Secure که به مهاجمان سایبری اجازه می‌دهد تا امتیازات سرپرست را به دست آورند.

  • CVE-2024-21893 (امتیاز CVSS: 8.2): یک آسیب‌پذیری جعل درخواست سمت سرور در مؤلفه SAML Ivanti Connect Secure، Ivanti Policy Secure، و Ivanti Neurons برای ZTA، که به مهاجمان سایبری اجازه می‌دهد تا به «منابع محدود خاص بدون احراز هویت» دسترسی داشته باشند.

طبق توصیه ایوانتی، فقط اکسپلویت‌هایی برای دومی در طبیعت منتشر شده است، و طبق توصیه ایوانتی، فعالیت «به نظر می‌رسد هدفمند است»، اما اضافه کرد که سازمان‌ها باید «به‌محض عمومی شدن این اطلاعات، انتظار افزایش شدید بهره‌برداری را داشته باشند – مشابه آنچه مشاهده کردیم. در 11 ژانویه پس از افشای 10 ژانویه.

Dunham از Qualys TRU می‌گوید انتظار حملات بیش از APT‌ها را داشته باشید: «چند بازیگر از فرصت‌های بهره‌برداری از آسیب‌پذیری استفاده می‌کنند قبل از اینکه سازمان‌ها در برابر حمله وصله کنند و سخت‌تر شوند. اگر از نسخه‌های آسیب‌پذیر در تولید استفاده می‌کنید، اولویت وصله است.»

محققان همچنین هشدار می دهند که نتیجه یک مصالحه می تواند برای سازمان ها خطرناک باشد.

Patrick Tiquet، معاون امنیت و معماری در Keeper Security می‌گوید: «این نقص‌های [جدید] ایوانتی با امنیت بالا جدی هستند [و مخصوصاً برای مهاجمان ارزشمند] و باید فوراً اصلاح شوند. این آسیب‌پذیری‌ها، در صورت بهره‌برداری، می‌توانند به سیستم‌های حساس دسترسی غیرمجاز بدهند و کل شبکه را در معرض خطر قرار دهند.»

تمبر زمان:

بیشتر از تاریک خواندن