Ivanti VPN Zero-Days alimente la frénésie des attaques à mesure que les correctifs sont enfin déployés

Ivanti a enfin commencé à corriger deux vulnérabilités de sécurité Zero Day révélées le 10 janvier dans ses appliances Connect Secure VPN. Cependant, il a également annoncé aujourd'hui deux bugs supplémentaires dans la plate-forme, CVE-2024-21888 et CVE-2024-21893 – ce dernier étant également activement exploité dans la nature.

Ivanti a publié sa première série de correctifs pour l'ensemble initial de jours zéro (CVE-2024-21887 et CVE-2023-46805) mais seulement pour certaines versions ; des correctifs supplémentaires seront déployés selon un calendrier échelonné dans les semaines à venir, a indiqué la société dans son avis mis à jour aujourd'hui. Entre-temps, Ivanti a fourni une mesure d'atténuation que les organisations non corrigées doivent appliquer immédiatement pour éviter d'être victimes de exploitation massive par des acteurs parrainés par l’État chinois et les cybercriminels motivés par l'argent.

Plusieurs logiciels malveillants personnalisés ancrent les attaques de vol de données

Ceci l’exploitation continue sans relâche. Selon Mandiant, une menace persistante avancée (APT) soutenue par la Chine, appelée UNC5221, est à l'origine de nombreuses exploitations depuis début décembre. Mais l’activité en général s’est considérablement accélérée depuis que les CVE-2024-21888 et CVE-2024-21893 ont été rendues publiques plus tôt en janvier.

"En plus de UNC5221, nous reconnaissons la possibilité qu'un ou plusieurs groupes apparentés puissent être associés à l'activité", ont déclaré les chercheurs de Mandiant dans une analyse des cyberattaques Ivanti publié aujourd'hui. "Il est probable que d'autres groupes au-delà de l'UNC5221 aient adopté un ou plusieurs des outils [associés aux compromis]."

À ce stade, Mandiant a publié des informations supplémentaires sur les types de logiciels malveillants qu'UNC5221 et d'autres acteurs utilisent dans les attaques contre les VPN sécurisés Ivanti Connect. Jusqu’à présent, les implants observés dans la nature comprennent :

« Les acteurs étatiques UNC5221 ont réussi à cibler et à exploiter les vulnérabilités d'Ivanti pour voler des données de configuration, modifier des fichiers existants, télécharger des fichiers distants et inverser le tunnel au sein des réseaux », déclare Ken Dunham, directeur des cybermenaces chez Qualys Threat Research Unit, qui prévient. Les utilisateurs d'Ivanti doivent être à l'affût des attaques de la chaîne d'approvisionnement contre leurs clients, partenaires et fournisseurs. « Ivanti est probablement ciblé en raison des fonctionnalités et de l'architecture qu'il offre aux acteurs, en cas de compromission, en tant que solution réseau et VPN, dans les réseaux et les cibles d'intérêt en aval. »

En plus de ces outils, les chercheurs de Mandiant ont signalé une activité qui utilise un contournement de la technique initiale d'atténuation des lacunes d'Ivanti, détaillée dans l'avis d'origine ; Dans ces attaques, des cyberattaquants inconnus déploient un shell Web de cyberespionnage personnalisé appelé « Bushwalk », qui peut lire ou écrire des fichiers sur un serveur.

"L'activité est très ciblée, limitée et distincte de l'activité d'exploitation de masse post-consultative", selon les chercheurs, qui ont également fourni des indicateurs détaillés de compromission (IoC) pour les défenseurs et les règles YARA.

Ivanti et CISA ont publié des conseils d'atténuation mis à jour hier que les organisations devraient postuler.

Deux nouveaux bugs Zero-Day de haute gravité

En plus de déployer des correctifs pour les bogues vieux de trois semaines, Ivanti a également ajouté des correctifs pour deux nouveaux CVE au même avis. Ils sont:

Seuls les exploits de ces derniers ont circulé dans la nature, et l'activité « semble être ciblée », selon l'avis d'Ivanti, mais il ajoute que les organisations devraient « s'attendre à une forte augmentation de l'exploitation une fois que ces informations seront publiques — similaire à ce que nous avons observé. le 11 janvier suivant la divulgation du 10 janvier.

Dunham de Qualys TRU déclare qu'il faut s'attendre à des attaques de la part de bien plus que des APT : « De nombreux acteurs profitent des opportunités d'exploitation des vulnérabilités avant que les organisations n'appliquent des correctifs et ne se renforcent contre les attaques. Ivanti est utilisé comme arme par des acteurs étatiques et maintenant probablement par d'autres — il devrait retenir votre attention et priorité aux correctifs, si vous utilisez des versions vulnérables en production.

Les chercheurs préviennent également que le résultat d’un compromis peut être dangereux pour les organisations.

« Ces [nouvelles] failles de haute sécurité Ivanti sont graves [et particulièrement utiles pour les attaquants] et doivent être corrigées immédiatement », déclare Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security. "Ces vulnérabilités, si elles sont exploitées, peuvent accorder un accès non autorisé à des systèmes sensibles et compromettre l'ensemble d'un réseau."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling