Ivanti akhirnya mulai menambal sepasang kerentanan keamanan zero-day yang diungkapkan pada 10 Januari di peralatan Connect Secure VPN-nya. Namun, hari ini mereka juga mengumumkan dua bug tambahan di platform, CVE-2024-21888 dan CVE-2024-21893 — yang terakhir juga sedang dieksploitasi secara aktif di alam liar.
Ivanti telah merilis patch putaran pertamanya untuk himpunan awal zero-day (CVE-2024-21887 dan CVE-2023-46805) tetapi hanya untuk beberapa versi; perbaikan tambahan akan diluncurkan dengan jadwal yang bervariasi dalam beberapa minggu mendatang, kata perusahaan itu dalam pemberitahuan terbarunya hari ini. Sementara itu, Ivanti telah memberikan mitigasi yang harus segera diterapkan oleh organisasi yang belum ditambal agar tidak menjadi korban eksploitasi massal oleh aktor-aktor yang disponsori negara Tiongkok dan penjahat dunia maya yang bermotivasi finansial.
Beberapa Serangan Pencurian Data Jangkar Malware Khusus
Bahwa eksploitasi terus berlanjut. Menurut Mandiant, ancaman persisten tingkat lanjut (APT) yang didukung Tiongkok yang disebut sebagai UNC5221 telah berada di balik banyak eksploitasi sejak awal Desember. Namun aktivitas secara umum telah meningkat pesat sejak CVE-2024-21888 dan CVE-2024-21893 diumumkan pada awal bulan Januari.
“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in analisis serangan siber Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”
Untuk itu, Mandiant mengeluarkan informasi tambahan mengenai jenis malware yang digunakan UNC5221 dan pelaku lainnya dalam serangan terhadap VPN Aman Ivanti Connect. Sejauh ini, implan yang mereka amati di alam liar meliputi:
-
Varian dari shell Web LightWire yang memasukkan dirinya ke dalam komponen sah gateway VPN, kini menampilkan rutinitas kebingungan yang berbeda.
-
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
-
ZipLine, pintu belakang pasif yang digunakan oleh UNC5221 yang menggunakan protokol terenkripsi khusus untuk menjalin komunikasi dengan perintah dan kontrol (C2). Fungsinya antara lain upload dan download file, reverse shell, server proxy, dan server tunneling.
-
Varian baru dari malware pencurian kredensial WarpWire, yang mencuri kata sandi teks biasa dan nama pengguna untuk eksfiltrasi ke server C2 yang dikodekan secara keras. Mandiant tidak mengaitkan semua varian dengan UNC5221.
-
Dan berbagai alat sumber terbuka untuk mendukung aktivitas pasca eksploitasi seperti pengintaian jaringan internal, pergerakan lateral, dan eksfiltrasi data dalam sejumlah lingkungan korban yang terbatas.
“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”
In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.
“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.
Ivanti dan CISA merilis panduan mitigasi terbaru kemarin bahwa organisasi harus menerapkan.
Dua Bug Zero-Day Tingkat Keparahan Tinggi yang Baru
Selain meluncurkan patch untuk bug yang sudah berumur tiga minggu, Ivanti juga menambahkan perbaikan untuk dua CVE baru ke dalam saran yang sama. Mereka:
-
CVE-2024-21888 (skor CVSS: 8.8): Kerentanan eskalasi hak istimewa dalam komponen Web Ivanti Connect Secure dan Ivanti Policy Secure, yang memungkinkan penyerang siber mendapatkan hak istimewa administrator.
-
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”
Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”
Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”
Para peneliti juga memperingatkan bahwa hasil dari kompromi dapat berbahaya bagi organisasi.
“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :memiliki
- :adalah
- :bukan
- $NAIK
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- mengakses
- Menurut
- mengakui
- aktif
- kegiatan
- kegiatan
- aktor
- menambahkan
- tambahan
- Tambahan
- Informasi Tambahan
- diadopsi
- maju
- ancaman persisten tingkat lanjut
- Keuntungan
- laporan
- terhadap
- sama
- Semua
- Membiarkan
- juga
- an
- Jangkar
- dan
- mengumumkan
- muncul
- peralatan
- Mendaftar
- APT
- sewenang-wenang
- arsitektur
- ADALAH
- AS
- terkait
- At
- menyerang
- Serangan
- perhatian
- Otentikasi
- menghindari
- kembali
- pintu belakang
- backdoors
- BE
- menjadi
- dimulai
- di belakang
- Luar
- bug
- tapi
- by
- memotong
- bernama
- Panggilan
- CAN
- tertentu
- rantai
- Cina
- Lingkaran
- CISA
- kedatangan
- beberapa minggu mendatang
- komunikasi
- perusahaan
- komponen
- kompromi
- Dikompromikan
- konfigurasi
- Terhubung
- terus
- adat
- pelanggan
- Serangan cyber
- penjahat cyber
- Berbahaya
- data
- Desember
- Pembela
- penggelaran
- terperinci
- berbeda
- Kepala
- penyingkapan
- berbeda
- tidak
- Download
- dua
- Terdahulu
- Awal
- tertanam
- aktif
- terenkripsi
- Seluruh
- lingkungan
- eskalasi
- menetapkan
- Eter (ETH)
- eksekusi
- pengelupasan kulit
- ada
- mengharapkan
- eksploitasi
- dieksploitasi
- eksploitasi
- luas
- Jatuh
- jauh
- Menampilkan
- File
- File
- Akhirnya
- secara finansial
- Pertama
- tetap
- ditandai
- kekurangan
- berikut
- Untuk
- kegilaan
- segar
- dari
- Bahan bakar
- fungsi
- fungsi
- Mendapatkan
- pintu gerbang
- Umum
- akan
- memberikan
- Grup
- Memiliki
- sangat
- Namun
- HTTPS
- ICON
- if
- segera
- in
- memasukkan
- Meningkatkan
- indikator
- informasi
- mulanya
- Sisipan
- bunga
- intern
- ke
- Ditempatkan
- IT
- NYA
- Diri
- Ivanta
- jan
- Januari
- jpg
- hanya
- sah
- 'like'
- Mungkin
- Terbatas
- terbuat
- malware
- Massa
- Mungkin..
- sementara itu
- mitigasi
- memodifikasi
- lebih
- termotivasi
- gerakan
- beberapa
- jaringan
- jaringan
- jaringan
- Neuron
- New
- sekarang
- jumlah
- diamati
- of
- on
- sekali
- ONE
- hanya
- Buka
- open source
- Peluang
- or
- organisasi
- asli
- Lainnya
- Lainnya
- di luar
- paket
- pasangan
- khususnya
- rekan
- pasif
- password
- tambalan
- Patch
- Menambal
- patrick
- Teks biasa
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- kebijaksanaan
- kemungkinan
- presiden
- Sebelumnya
- prioritas
- hak istimewa
- hak
- Produksi
- protokol
- disediakan
- menyediakan
- wakil
- publik
- Ular sanca
- RE
- Baca
- terkait
- dirilis
- terpencil
- permintaan
- penelitian
- peneliti
- Sumber
- terbatas
- mengakibatkan
- membalikkan
- Menggulung
- bergulir
- bulat
- rutin
- aturan
- s
- Tersebut
- sama
- mengatakan
- menjadwalkan
- skor
- aman
- keamanan
- peka
- serius
- Server
- set
- tajam
- Kulit
- harus
- mirip
- sejak
- So
- sejauh ini
- larutan
- beberapa
- sumber
- mencuri
- berhasil
- pemasok
- menyediakan
- supply chain
- mendukung
- sistem
- pengambilan
- ditargetkan
- target
- teknik
- dari
- bahwa
- Grafik
- pencurian
- mereka
- Ini
- mereka
- ini
- ancaman
- untuk
- hari ini
- alat
- TRU
- terowongan
- dua
- jenis
- tidak sah
- bawah
- satuan
- tidak dikenal
- diperbarui
- bekas
- Pengguna
- kegunaan
- menggunakan
- Berharga
- Varian
- Versi
- wakil
- Wakil Presiden
- Korban
- VPN
- VPNs
- Kerentanan
- kerentanan
- Rentan
- Peringatkan
- we
- jaringan
- minggu
- adalah
- Apa
- yang
- SIAPA
- Liar
- akan
- dengan
- dalam
- tanpa
- menulis
- kemarin
- kamu
- Anda
- zephyrnet.dll
