Az Ivanti végre megkezdte a Connect Secure VPN készülékeiben január 10-én nyilvánosságra hozott nulladik napi biztonsági rések javítását. A mai napon azonban két további hibát is bejelentett a platformon, a CVE-2024-21888 és a CVE-2024-21893 – utóbbit a vadonban is aktívan használják.
Az Ivanti kiadta a javítások első körét a nulla napok eredeti halmazához (CVE-2024-21887 és CVE-2023-46805), de csak egyes verziókhoz; A következő hetekben a további javítások ütemezett ütemezésben kerülnek bevezetésre – közölte a vállalat mai frissített tanácsadójában. Időközben az Ivanti olyan enyhítő intézkedést hozott, amely szerint a kijavítatlan szervezeteknek azonnal jelentkezniük kell, hogy elkerüljék az áldozatul esést. a kínai államilag támogatott szereplők tömeges kizsákmányolása és anyagilag motivált kiberbűnözők egyaránt.
Több egyéni malware horgonyzó adatlopási támadás
Hogy a kizsákmányolás töretlenül folytatódik. A Mandiant szerint az UNC5221 nevű, Kína által támogatott fejlett állandó fenyegetés (APT) rengeteg kizsákmányolás mögött áll december elejéig. Az aktivitás azonban általában véve jelentősen felpörgött, amióta a CVE-2024-21888 és a CVE-2024-21893 január elején nyilvánosságra hozták.
"Az UNC5221 mellett elismerjük annak lehetőségét, hogy egy vagy több rokon csoport kapcsolatba hozható a tevékenységgel" - mondták a Mandiant kutatói. Ivanti kibertámadás elemzése ma megjelent. „Valószínű, hogy az UNC5221-en túl további csoportok is alkalmaztak egy vagy több [a kompromisszumokhoz kapcsolódó] eszközt.”
Addig a Mandiant további információkat adott ki az UNC5221 és más szereplők által az Ivanti Connect Secure VPN-ek elleni támadásokhoz használt rosszindulatú programok típusairól. Eddig a vadonban megfigyelt implantátumok a következők:
-
A LightWire Web shell egy olyan változata, amely beilleszti magát a VPN-átjáró legális összetevőjébe, és immár egy másik elhomályosítási rutint tartalmaz.
-
Két UNC5221 egyedi webhéj, a „ChainLine” és a „FrameSting”, amelyek az Ivanti Connect Secure Python csomagokba ágyazott hátsó ajtók, amelyek tetszőleges parancsvégrehajtást tesznek lehetővé.
-
ZipLine, az UNC5221 által használt passzív hátsó ajtó, amely egyéni, titkosított protokollt használ a kommunikáció létrehozásához a parancs- és vezérléssel (C2). Funkciói közé tartozik a fájlfeltöltés és -letöltés, a fordított shell, a proxyszerver és a tunneling szerver.
-
A WarpWire hitelesítő adatok ellopását célzó kártevő új változatai, amelyek egyszerű szöveges jelszavakat és felhasználóneveket lopnak a kemény kódolt C2-szerverre való kiszűréshez. A Mandiant nem tulajdonítja az összes változatot az UNC5221-nek.
-
És számos nyílt forráskódú eszköz a kizsákmányolás utáni tevékenységek támogatására, mint például a belső hálózat felderítése, oldalirányú mozgás és adatszivárgás korlátozott számú áldozati környezetben.
„Az UNC5221 nemzetállami szereplők sikeresen célozták meg és használták ki az Ivanti biztonsági réseit konfigurációs adatok ellopására, meglévő fájlok módosítására, távoli fájlok letöltésére és a hálózatokon belüli alagút megfordítására” – figyelmeztet Ken Dunham, a Qualys Threat Research Unit kiberfenyegetésekkel foglalkozó igazgatója. Az Ivanti felhasználóknak figyelniük kell az ellátási lánc támadásait ügyfeleik, partnereik és beszállítóik ellen. „Az Ivanti valószínűleg a hálózatokba és a későbbi érdeklődési körökbe kerül a szereplők számára biztosított funkcionalitás és architektúra miatt, ha veszélybe kerül, hálózati és VPN-megoldásként.”
Ezeken az eszközökön kívül a Mandiant kutatói olyan tevékenységet jelöltek meg, amely az eredeti tanácsban részletezett Ivanti kezdeti stopgap-csillapítási technikájának megkerülését alkalmazza; ezekben a támadásokban az ismeretlen kibertámadók a „Bushwalk” nevű egyedi kiberkémkedési webhéjat telepítik, amely képes fájlokat olvasni vagy írni a szerverre.
„A tevékenység erősen célzott, korlátozott, és különbözik a tanácsadói tevékenység utáni tömeges kizsákmányolástól” – állítják a kutatók, akik kiterjedt kompromisszummutatókat (IoC) is szolgáltattak a védők számára, és a YARA szabályait.
Az Ivanti és a CISA frissített enyhítési útmutatót adott ki tegnap, hogy a szervezeteknek jelentkezniük kell.
Két friss, nagy súlyosságú nulladik napi hiba
Amellett, hogy a három hetes hibákhoz kiadott javításokat, Ivanti két új CVE-hez is javított ugyanahhoz a tanácshoz. Ők:
-
CVE-2024-21888 (CVSS-pontszám: 8.8): Az Ivanti Connect Secure és az Ivanti Policy Secure webes összetevőjének jogosultság-kiterjesztési biztonsági rése, amely lehetővé teszi a kibertámadások számára rendszergazdai jogosultságok megszerzését.
-
CVE-2024-21893 (CVSS pontszám: 8.2): Az Ivanti Connect Secure, az Ivanti Policy Secure és az Ivanti Neurons for ZTA SAML-összetevőjében található szerveroldali kéréshamisítási rés, amely lehetővé teszi a kibertámadók számára, hogy „bizonyos korlátozott erőforrásokhoz hitelesítés nélkül hozzáférjenek”.
Csak az utóbbi kizsákmányolása terjedt el a vadonban, és Ivanti tanácsa szerint a tevékenység „célzottnak tűnik”, de hozzátette, hogy a szervezeteknek „a kizsákmányolás meredek növekedésére kell számítaniuk, amint ez az információ nyilvánosságra kerül – hasonlóan ahhoz, amit megfigyeltünk. január 11-i közzétételt követően január 10-én.”
A Qualys TRU munkatársa, Dunham szerint nem csak APT-ktől kell támadásokra számítani: „Több szereplő is kihasználja a sebezhetőség kihasználásának lehetőségeit, mielőtt a szervezetek befoltoznák és megnehezítenék a támadásokat. Ivantit nemzetállami szereplők fegyverezték fel, és most valószínűleg mások is – figyelnie kell rá, és a javítás elsőbbsége, ha sebezhető verziókat használ éles környezetben.”
A kutatók arra is figyelmeztetnek, hogy a kompromisszum eredménye veszélyes lehet a szervezetekre.
„Ezek az [új] Ivanti fokozott biztonsági hibái súlyosak [és különösen értékesek a támadók számára], és azonnal ki kell javítani őket” – mondja Patrick Tiquet, a Keeper Security biztonsági és építészeti alelnöke. "Ezek a sérülékenységek, ha kihasználják őket, jogosulatlan hozzáférést biztosíthatnak érzékeny rendszerekhez, és egy egész hálózatot veszélyeztethetnek."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :van
- :is
- :nem
- $ UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- hozzáférés
- Szerint
- elismerni
- aktív
- tevékenységek
- tevékenység
- szereplők
- hozzáadott
- mellett
- További
- további információ
- fogadott
- fejlett
- előrehaladott tartós fenyegetés
- Előny
- tanácsadó
- ellen
- hasonló
- Minden termék
- lehetővé téve
- Is
- an
- Horgony
- és a
- bejelentés
- Megjelenik
- készülékek
- alkalmaz
- APT
- önkényes
- építészet
- VANNAK
- AS
- társult
- At
- támadás
- Támadások
- figyelem
- Hitelesítés
- elkerülése érdekében
- vissza
- hátsó ajtó
- Hátsóajtó
- BE
- óta
- megkezdett
- mögött
- Túl
- bogarak
- de
- by
- kitérő
- hívott
- kéri
- TUD
- bizonyos
- lánc
- kínai
- Kör
- CISA
- érkező
- az elkövetkező hetekben
- távközlés
- vállalat
- összetevő
- kompromisszum
- Veszélyeztetett
- Configuration
- Csatlakozás
- tovább
- szokás
- Ügyfelek
- cyberattack
- kiberbűnözők
- Veszélyes
- dátum
- december
- Védők
- bevezetéséhez
- részletes
- különböző
- Igazgató
- közzététel
- különböző
- nem
- letöltés
- két
- Korábban
- Korai
- beágyazott
- lehetővé
- titkosított
- Egész
- környezetek
- eszkaláció
- létrehozni
- Eter (ETH)
- végrehajtás
- kiszűrés
- létező
- vár
- kizsákmányolás
- Hasznosított
- hasznosítja
- kiterjedt
- Eső
- messze
- Featuring
- filé
- Fájlok
- Végül
- pénzügyileg
- vezetéknév
- javítások
- megjelölve
- hibái
- következő
- A
- örület
- friss
- ból ből
- Üzemanyag
- funkcionalitás
- funkciók
- Nyereség
- gateway
- általános
- megy
- biztosít
- Csoportok
- Legyen
- nagyon
- azonban
- HTTPS
- ICON
- if
- azonnal
- in
- tartalmaz
- Növelje
- mutatók
- információ
- kezdetben
- Betétek
- kamat
- belső
- bele
- Kiadott
- IT
- ITS
- maga
- Ivanta
- január
- január
- jpg
- éppen
- jogos
- mint
- Valószínű
- Korlátozott
- készült
- malware
- Tömeg
- Lehet..
- Addig
- enyhítés
- módosítása
- több
- motivált
- mozgalom
- többszörös
- hálózat
- hálózatba
- hálózatok
- neuronok
- Új
- Most
- szám
- megfigyelt
- of
- on
- egyszer
- ONE
- csak
- nyitva
- nyílt forráskódú
- Lehetőségek
- or
- szervezetek
- eredeti
- Más
- Egyéb
- ki
- csomagok
- pár
- különösen
- partnerek
- passzív
- jelszavak
- Tapasz
- Patches
- Foltozás
- patrick
- Egyszerű szöveg
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- politika
- lehetőség
- elnök
- Előzetes
- prioritás
- kiváltság
- kiváltságok
- Termelés
- protokoll
- feltéve,
- biztosít
- meghatalmazott
- nyilvános
- Piton
- RE
- Olvass
- összefüggő
- felszabaduló
- távoli
- kérni
- kutatás
- kutatók
- Tudástár
- korlátozott
- eredményez
- fordított
- Tekercs
- Gördülő
- körül
- rutin
- szabályok
- s
- Mondott
- azonos
- azt mondja,
- menetrend
- pontszám
- biztonság
- biztonság
- érzékeny
- súlyos
- szerver
- készlet
- éles
- Héj
- kellene
- hasonló
- óta
- So
- eddig
- megoldások
- néhány
- forrás
- lop
- sikeresen
- szállítók
- kínálat
- ellátási lánc
- támogatás
- Systems
- bevétel
- célzott
- célok
- technika
- mint
- hogy
- A
- lopás
- azok
- Ezek
- ők
- ezt
- fenyegetés
- nak nek
- Ma
- szerszámok
- TRU
- alagút
- kettő
- típusok
- jogtalan
- alatt
- egység
- ismeretlen
- frissítve
- használt
- Felhasználók
- használ
- segítségével
- Értékes
- Változat
- verzió
- vice
- Alelnök
- Áldozat
- VPN
- VPN
- sérülékenységek
- sebezhetőség
- Sebezhető
- figyelmeztet
- we
- háló
- Hetek
- voltak
- Mit
- ami
- WHO
- Vadon
- lesz
- val vel
- belül
- nélkül
- ír
- tegnap
- te
- A te
- zephyrnet
