Lisää Ivanti VPN Zero-Days Fuel Attack Frenzy -päivityksiä vihdoin rullaa

Lisää Ivanti VPN Zero-Days Fuel Attack Frenzy -päivityksiä vihdoin rullaa

Aikaleima: 31. tammikuuta 2024 3
Lähdesolmu: 3090562

Ivanti on vihdoin alkanut korjata paria nollapäivän tietoturva-aukkoja, jotka paljastettiin 10. tammikuuta Connect Secure VPN -laitteissaan. Se ilmoitti kuitenkin tänään myös kahdesta lisävirheestä alustassa, CVE-2024-21888 ja CVE-2024-21893 – joista jälkimmäistä hyödynnetään aktiivisesti myös luonnossa.

Ivanti on julkaissut ensimmäisen korjauskierroksensa alkuperäiselle nollapäiville (CVE-2024-21887 ja CVE-2023-46805), mutta vain joissakin versioissa; lisäkorjauksia julkaistaan ​​porrastetussa aikataulussa tulevina viikkoina, yhtiö sanoi tänään päivitetyssä ilmoituksessaan. Sillä välin Ivanti on tarjonnut lievennyksen, jonka mukaan korjaamattomien organisaatioiden tulee hakeutua välittömästi, jotta ne eivät joutuisi uhriksi. Kiinan valtion tukemien toimijoiden massariisto sekä taloudellisesti motivoituneita kyberrikollisia.

Useita mukautettuja haittaohjelmien ankkuritietovarkaushyökkäyksiä

Että hyväksikäyttö jatkuu lakkaamatta. Mandiantin mukaan Kiinan tukema kehittynyt jatkuva uhka (APT), jota se kutsuu UNC5221:ksi, on ollut joulukuun alussa tehtyjen hyväksikäyttöjen takana. Mutta yleensä toiminta on lisääntynyt huomattavasti sen jälkeen, kun CVE-2024-21888 ja CVE-2024-21893 julkistettiin aiemmin tammikuussa.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in Ivantin kyberhyökkäysanalyysi released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

Siihen mennessä Mandiant julkaisi lisätietoja haittaohjelmista, joita UNC5221 ja muut toimijat käyttävät hyökkäyksissä Ivanti Connect Secure VPN -verkkoihin. Tähän mennessä luonnossa havaittuja implantteja ovat mm.

  • Muunnelma LightWire Web -kuoresta, joka asettuu VPN-yhdyskäytävän lailliseen osaan ja jossa on nyt erilainen hämärtymisrutiini.

  • Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.

  • ZipLine, UNC5221:n käyttämä passiivinen takaovi, joka käyttää mukautettua, salattua protokollaa viestinnän luomiseen komento- ja ohjausjärjestelmän (C2) kanssa. Sen toimintoihin kuuluvat tiedostojen lataus ja lataus, käänteinen kuori, välityspalvelin ja tunnelointipalvelin.

  • Uudet versiot WarpWire-tunnusvarkaushaittaohjelmasta, joka varastaa selkeitä salasanoja ja käyttäjätunnuksia kovakoodatun C2-palvelimen suodattamista varten. Mandiant ei määritä kaikkia muunnelmia UNC5221:lle.

  • Ja useita avoimen lähdekoodin työkaluja, jotka tukevat hyväksikäytön jälkeisiä toimintoja, kuten sisäisen verkon tiedustelua, sivusuuntaista liikkumista ja tietojen suodattamista rajoitetussa määrässä uhriympäristöjä.

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti ja CISA julkaisivat päivitetyt lieventämisohjeet eilen, että organisaatioiden pitäisi hakea.

Kaksi tuoretta erittäin vakavia nollapäivän vikoja

Sen lisäksi, että Ivanti julkaisi korjaustiedostoja kolme viikkoa vanhoille bugeille, hän lisäsi samaan ohjeeseen myös korjauksia kahdelle uudelle CVE:lle. He ovat:

  • CVE-2024-21888 (CVSS-pisteet: 8.8): Ivanti Connect Securen ja Ivanti Policy Securen verkkokomponentin oikeuksien eskalaatiohaavoittuvuus, jonka avulla kyberhyökkääjät voivat saada järjestelmänvalvojan oikeuksia.

  • CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

Tutkijat varoittavat myös, että kompromissin tulos voi olla organisaatioille vaarallinen.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

Aikaleima:

Lisää aiheesta Pimeää luettavaa