Még több Ivanti VPN Zero-Days Fuel Attack Frenzy, mint a patchek végre felkerülnek

Az Ivanti végre megkezdte a Connect Secure VPN készülékeiben január 10-én nyilvánosságra hozott nulladik napi biztonsági rések javítását. A mai napon azonban két további hibát is bejelentett a platformon, a CVE-2024-21888 és a CVE-2024-21893 – utóbbit a vadonban is aktívan használják.

Az Ivanti kiadta a javítások első körét a nulla napok eredeti halmazához (CVE-2024-21887 és CVE-2023-46805), de csak egyes verziókhoz; A következő hetekben a további javítások ütemezett ütemezésben kerülnek bevezetésre – közölte a vállalat mai frissített tanácsadójában. Időközben az Ivanti olyan enyhítő intézkedést hozott, amely szerint a kijavítatlan szervezeteknek azonnal jelentkezniük kell, hogy elkerüljék az áldozatul esést. a kínai államilag támogatott szereplők tömeges kizsákmányolása és anyagilag motivált kiberbűnözők egyaránt.

Több egyéni malware horgonyzó adatlopási támadás

Hogy a kizsákmányolás töretlenül folytatódik. A Mandiant szerint az UNC5221 nevű, Kína által támogatott fejlett állandó fenyegetés (APT) rengeteg kizsákmányolás mögött áll december elejéig. Az aktivitás azonban általában véve jelentősen felpörgött, amióta a CVE-2024-21888 és a CVE-2024-21893 január elején nyilvánosságra hozták.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in Ivanti kibertámadás elemzése released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

Addig a Mandiant további információkat adott ki az UNC5221 és más szereplők által az Ivanti Connect Secure VPN-ek elleni támadásokhoz használt rosszindulatú programok típusairól. Eddig a vadonban megfigyelt implantátumok a következők:

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Az Ivanti és a CISA frissített enyhítési útmutatót adott ki tegnap, hogy a szervezeteknek jelentkezniük kell.

Két friss, nagy súlyosságú nulladik napi hiba

Amellett, hogy a három hetes hibákhoz kiadott javításokat, Ivanti két új CVE-hez is javított ugyanahhoz a tanácshoz. Ők:

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

A kutatók arra is figyelmeztetnek, hogy a kompromisszum eredménye veszélyes lehet a szervezetekre.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling