अधिक इवांती वीपीएन ज़ीरो-डेज़ फ्यूल अटैक उन्माद के रूप में पैच अंततः रोल

अधिक इवांती वीपीएन ज़ीरो-डेज़ फ्यूल अटैक उन्माद के रूप में पैच अंततः रोल

समय टिकट: 31 जनवरी, 2024 शाम 3:25 बजे
स्रोत नोड: 3090562

इवांती ने अंततः अपने कनेक्ट सिक्योर वीपीएन उपकरणों में 10 जनवरी को प्रकट की गई शून्य-दिवसीय सुरक्षा कमजोरियों की एक जोड़ी को ठीक करना शुरू कर दिया है। हालाँकि, इसने आज प्लेटफ़ॉर्म में दो अतिरिक्त बग की भी घोषणा की, CVE-2024-21888 और CVE-2024-21893 - जिनमें से बाद वाला भी जंगल में सक्रिय शोषण के अधीन है।

इवांती ने पैच का पहला दौर जारी कर दिया है शून्य-दिनों के मूल सेट के लिए (CVE-2024-21887 और CVE-2023-46805) लेकिन केवल कुछ संस्करणों के लिए; कंपनी ने आज अपनी अद्यतन सलाह में कहा कि आने वाले हफ्तों में अतिरिक्त सुधार चरणबद्ध तरीके से लागू किए जाएंगे। इस बीच, इवांती ने एक राहत प्रदान की है कि इसका शिकार होने से बचने के लिए असंबद्ध संगठनों को तुरंत आवेदन करना चाहिए चीनी राज्य-प्रायोजित अभिनेताओं द्वारा बड़े पैमाने पर शोषण और समान रूप से वित्तीय रूप से प्रेरित साइबर अपराधी।

एकाधिक कस्टम मैलवेयर एंकर डेटा चोरी के हमले

कि शोषण बदस्तूर जारी है. मैंडिएंट के अनुसार, चीन समर्थित एडवांस्ड परसिस्टेंट थ्रेट (एपीटी) जिसे यूएनसी5221 कहा जाता है, दिसंबर की शुरुआत से ही शोषण के दायरे में रहा है। लेकिन CVE-2024-21888 और CVE-2024-21893 को जनवरी की शुरुआत में सार्वजनिक किए जाने के बाद से सामान्य तौर पर गतिविधि काफी बढ़ गई है।

मैंडिएंट शोधकर्ताओं ने कहा, "UNC5221 के अलावा, हम इस संभावना को स्वीकार करते हैं कि एक या अधिक संबंधित समूह गतिविधि से जुड़े हो सकते हैं।" इवांती साइबर हमले का विश्लेषण आज जारी किया गया. "संभावना है कि UNC5221 से परे अतिरिक्त समूहों ने [समझौते से जुड़े] उपकरणों में से एक या अधिक को अपनाया है।"

उस बिंदु तक, मैंडिएंट ने मैलवेयर के प्रकारों पर अतिरिक्त जानकारी जारी की, जिनका उपयोग UNC5221 और अन्य कलाकार इवांती कनेक्ट सिक्योर वीपीएन पर हमलों में कर रहे हैं। अब तक, उन्होंने जंगल में जो प्रत्यारोपण देखे हैं उनमें शामिल हैं:

  • लाइटवायर वेब शेल का एक प्रकार जो खुद को वीपीएन गेटवे के एक वैध घटक में सम्मिलित करता है, अब एक अलग ऑबफस्केशन रूटीन की विशेषता रखता है।

  • दो UNC5221 कस्टम वेब शेल, जिन्हें "चैनलाइन" और "फ़्रेमस्टिंग" कहा जाता है, जो इवंती कनेक्ट सिक्योर पायथन पैकेज में एम्बेडेड बैकडोर हैं जो मनमाने ढंग से कमांड निष्पादन को सक्षम करते हैं।

  • ज़िपलाइन, UNC5221 द्वारा उपयोग किया जाने वाला एक निष्क्रिय पिछला दरवाजा जो कमांड-एंड-कंट्रोल (C2) के साथ संचार स्थापित करने के लिए एक कस्टम, एन्क्रिप्टेड प्रोटोकॉल का उपयोग करता है। इसके कार्यों में फ़ाइल अपलोड और डाउनलोड, रिवर्स शेल, प्रॉक्सी सर्वर और एक टनलिंग सर्वर शामिल हैं।

  • WarpWire क्रेडेंशियल-चोरी मैलवेयर के नए वेरिएंट, जो हार्ड-कोडेड C2 सर्वर में घुसपैठ के लिए प्लेनटेक्स्ट पासवर्ड और उपयोगकर्ता नाम चुराते हैं। मैंडिएंट सभी वेरिएंट का श्रेय UNC5221 को नहीं देता है।

  • और सीमित संख्या में पीड़ित वातावरण के भीतर आंतरिक नेटवर्क टोही, पार्श्व आंदोलन और डेटा घुसपैठ जैसी शोषण के बाद की गतिविधियों का समर्थन करने के लिए कई खुले स्रोत उपकरण।

क्वालिस थ्रेट रिसर्च यूनिट के साइबर-खतरा निदेशक केन डनहम कहते हैं, "राष्ट्र-राज्य अभिनेताओं UNC5221 ने कॉन्फ़िगरेशन डेटा चुराने, मौजूदा फ़ाइलों को संशोधित करने, दूरस्थ फ़ाइलों को डाउनलोड करने और नेटवर्क के भीतर रिवर्स टनल के लिए इवंती में कमजोरियों को सफलतापूर्वक लक्षित और शोषण किया है।" इवांती उपयोगकर्ताओं को अपने ग्राहकों, भागीदारों और आपूर्तिकर्ताओं पर आपूर्ति श्रृंखला के हमलों की तलाश में रहना होगा। "इवंती को संभावित रूप से नेटवर्किंग और वीपीएन समाधान के रूप में, नेटवर्किंग और रुचि के डाउनस्ट्रीम लक्ष्यों में, अभिनेताओं को प्रदान की जाने वाली कार्यक्षमता और वास्तुकला के कारण लक्षित किया जाता है।"

इन उपकरणों के अलावा, मैंडिएंट शोधकर्ताओं ने ऐसी गतिविधि को चिह्नित किया है जो इवंती की प्रारंभिक स्टॉपगैप शमन तकनीक के लिए बाईपास का उपयोग करती है, जिसका विवरण मूल सलाह में दिया गया है; इन हमलों में, अज्ञात साइबर हमलावर "बुशवॉक" नामक एक कस्टम साइबर-जासूसी वेब शेल तैनात कर रहे हैं, जो सर्वर पर फ़ाइलों को पढ़ या लिख ​​सकता है।

शोधकर्ताओं के अनुसार, "गतिविधि अत्यधिक लक्षित, सीमित है, और सलाह के बाद की सामूहिक शोषण गतिविधि से अलग है," जिन्होंने रक्षकों और YARA नियमों के लिए समझौता (IoCs) के व्यापक संकेतक भी प्रदान किए।

इवांती और सीआईएसए ने अद्यतन शमन मार्गदर्शन जारी किया कल कि संगठनों को आवेदन करना चाहिए।

दो ताज़ा उच्च-गंभीरता वाले ज़ीरो-डे बग

तीन-सप्ताह पुराने बग के लिए पैच जारी करने के अलावा, इवंती ने उसी सलाह में दो नए सीवीई के लिए फिक्स भी जोड़े। वे हैं:

  • सीवीई-2024-21888 (सीवीएसएस स्कोर: 8.8): इवांति कनेक्ट सिक्योर और इवांति पॉलिसी सिक्योर के वेब घटक में एक विशेषाधिकार वृद्धि भेद्यता, जिससे साइबर हमलावरों को प्रशासकीय विशेषाधिकार प्राप्त करने की अनुमति मिलती है।

  • सीवीई-2024-21893 (सीवीएसएस स्कोर: 8.2): ज़ेडटीए के लिए इवांती कनेक्ट सिक्योर, इवांति पॉलिसी सिक्योर और इवांति न्यूरॉन्स के एसएएमएल घटक में एक सर्वर-साइड अनुरोध जालसाजी भेद्यता, साइबर हमलावरों को "प्रमाणीकरण के बिना कुछ प्रतिबंधित संसाधनों" तक पहुंचने की इजाजत देता है।

इवांती की सलाह के अनुसार, केवल बाद के लिए किए गए शोषण ही जंगल में प्रसारित हुए हैं, और गतिविधि "लक्षित प्रतीत होती है", लेकिन इसमें यह भी कहा गया है कि संगठनों को "यह जानकारी सार्वजनिक होने के बाद शोषण में तेज वृद्धि की उम्मीद करनी चाहिए - जैसा कि हमने देखा है" 11 जनवरी के खुलासे के बाद 10 जनवरी को।”

क्वालिस टीआरयू के डनहम का कहना है कि केवल एपीटी से अधिक हमलों की उम्मीद है: "कई कलाकार हमले के खिलाफ पैचिंग और सख्त होने वाले संगठनों से पहले भेद्यता शोषण के अवसरों का लाभ उठा रहे हैं इवांती को राष्ट्र-राज्य अभिनेताओं और अब संभवतः अन्य लोगों द्वारा हथियार बनाया गया है - इस पर आपका ध्यान होना चाहिए और यदि आप उत्पादन में कमजोर संस्करणों का उपयोग कर रहे हैं, तो पैच को प्राथमिकता दें।

शोधकर्ताओं ने यह भी चेतावनी दी है कि समझौते का परिणाम संगठनों के लिए खतरनाक हो सकता है।

कीपर सिक्योरिटी में सुरक्षा और वास्तुकला के उपाध्यक्ष पैट्रिक टिकेट कहते हैं, "ये [नई] इवांती उच्च-सुरक्षा खामियां गंभीर हैं [और हमलावरों के लिए विशेष रूप से मूल्यवान], और इन्हें तुरंत ठीक किया जाना चाहिए।" "अगर इन कमजोरियों का फायदा उठाया जाता है, तो ये संवेदनशील प्रणालियों तक अनधिकृत पहुंच प्रदान कर सकती हैं और पूरे नेटवर्क से समझौता कर सकती हैं।"

समय टिकट:

से अधिक डार्क रीडिंग