Ivanti akhirnya mulai menambal sepasang kerentanan keamanan zero-day yang diungkapkan pada 10 Januari di peralatan Connect Secure VPN-nya. Namun, hari ini mereka juga mengumumkan dua bug tambahan di platform, CVE-2024-21888 dan CVE-2024-21893 — yang terakhir juga sedang dieksploitasi secara aktif di alam liar.
Ivanti telah merilis patch putaran pertamanya untuk himpunan awal zero-day (CVE-2024-21887 dan CVE-2023-46805) tetapi hanya untuk beberapa versi; perbaikan tambahan akan diluncurkan dengan jadwal yang bervariasi dalam beberapa minggu mendatang, kata perusahaan itu dalam pemberitahuan terbarunya hari ini. Sementara itu, Ivanti telah memberikan mitigasi yang harus segera diterapkan oleh organisasi yang belum ditambal agar tidak menjadi korban eksploitasi massal oleh aktor-aktor yang disponsori negara Tiongkok dan penjahat dunia maya yang bermotivasi finansial.
Beberapa Serangan Pencurian Data Jangkar Malware Khusus
Bahwa eksploitasi terus berlanjut. Menurut Mandiant, ancaman persisten tingkat lanjut (APT) yang didukung Tiongkok yang disebut sebagai UNC5221 telah berada di balik banyak eksploitasi sejak awal Desember. Namun aktivitas secara umum telah meningkat pesat sejak CVE-2024-21888 dan CVE-2024-21893 diumumkan pada awal bulan Januari.
“Selain UNC5221, kami mengakui kemungkinan bahwa satu atau lebih kelompok terkait mungkin terkait dengan kegiatan tersebut,” kata peneliti Mandiant di analisis serangan siber Ivanti dirilis hari ini. “Kemungkinan besar kelompok lain di luar UNC5221 telah mengadopsi satu atau lebih alat [yang terkait dengan kompromi].”
Untuk itu, Mandiant mengeluarkan informasi tambahan mengenai jenis malware yang digunakan UNC5221 dan pelaku lainnya dalam serangan terhadap VPN Aman Ivanti Connect. Sejauh ini, implan yang mereka amati di alam liar meliputi:
-
Varian dari shell Web LightWire yang memasukkan dirinya ke dalam komponen sah gateway VPN, kini menampilkan rutinitas kebingungan yang berbeda.
-
Dua shell Web khusus UNC5221, yang disebut “ChainLine” dan “FrameSting,” yang merupakan pintu belakang yang tertanam dalam paket Ivanti Connect Secure Python yang memungkinkan eksekusi perintah sewenang-wenang.
-
ZipLine, pintu belakang pasif yang digunakan oleh UNC5221 yang menggunakan protokol terenkripsi khusus untuk menjalin komunikasi dengan perintah dan kontrol (C2). Fungsinya antara lain upload dan download file, reverse shell, server proxy, dan server tunneling.
-
Varian baru dari malware pencurian kredensial WarpWire, yang mencuri kata sandi teks biasa dan nama pengguna untuk eksfiltrasi ke server C2 yang dikodekan secara keras. Mandiant tidak mengaitkan semua varian dengan UNC5221.
-
Dan berbagai alat sumber terbuka untuk mendukung aktivitas pasca eksploitasi seperti pengintaian jaringan internal, pergerakan lateral, dan eksfiltrasi data dalam sejumlah lingkungan korban yang terbatas.
“Aktor negara-bangsa UNC5221 telah berhasil menargetkan dan mengeksploitasi kerentanan di Ivanti untuk mencuri data konfigurasi, memodifikasi file yang ada, mengunduh file jarak jauh, dan membalikkan terowongan dalam jaringan,” kata Ken Dunham, direktur ancaman dunia maya di Qualys Threat Research Unit, yang memperingatkan Pengguna Ivanti harus mewaspadai serangan rantai pasokan terhadap pelanggan, mitra, dan pemasok mereka. “Ivanti kemungkinan besar menjadi sasaran karena fungsionalitas dan arsitektur yang diberikannya kepada para aktor, jika dikompromikan, sebagai solusi jaringan dan VPN, ke dalam jaringan dan target hilir yang menjadi perhatian.”
Selain alat-alat ini, para peneliti Mandiant menandai aktivitas yang menggunakan jalan pintas untuk teknik mitigasi sementara yang dilakukan Ivanti, yang dirinci dalam panduan aslinya; dalam serangan-serangan ini, penyerang siber tak dikenal menggunakan shell Web spionase siber khusus yang disebut “Bushwalk,” yang dapat membaca atau menulis file ke server.
“Kegiatan ini sangat bertarget, terbatas, dan berbeda dari kegiatan eksploitasi massal pasca-penasihat,” menurut para peneliti, yang juga memberikan indikator kompromi (IoC) yang luas bagi para pembela HAM, dan peraturan YARA.
Ivanti dan CISA merilis panduan mitigasi terbaru kemarin bahwa organisasi harus menerapkan.
Dua Bug Zero-Day Tingkat Keparahan Tinggi yang Baru
Selain meluncurkan patch untuk bug yang sudah berumur tiga minggu, Ivanti juga menambahkan perbaikan untuk dua CVE baru ke dalam saran yang sama. Mereka:
-
CVE-2024-21888 (skor CVSS: 8.8): Kerentanan eskalasi hak istimewa dalam komponen Web Ivanti Connect Secure dan Ivanti Policy Secure, yang memungkinkan penyerang siber mendapatkan hak istimewa administrator.
-
CVE-2024-21893 (skor CVSS: 8.2): Kerentanan pemalsuan permintaan sisi server dalam komponen SAML Ivanti Connect Secure, Ivanti Policy Secure, dan Ivanti Neurons untuk ZTA, yang memungkinkan penyerang siber mengakses “sumber daya tertentu yang dibatasi tanpa autentikasi.”
Hanya eksploitasi untuk jenis yang terakhir ini yang beredar di alam liar, dan aktivitas tersebut “tampaknya ditargetkan,” menurut saran Ivanti, namun organisasi tersebut menambahkan bahwa organisasi harus “mengharapkan peningkatan tajam dalam eksploitasi setelah informasi ini dipublikasikan – serupa dengan apa yang kami amati. pada 11 Januari setelah pengungkapan 10 Januari.”
Dunham dari Qualys TRU memperkirakan serangan akan datang lebih dari sekedar APT: “Banyak aktor mengambil keuntungan dari peluang eksploitasi kerentanan sebelum organisasi melakukan penambalan dan memperkuat serangan. Ivanti dipersenjatai oleh aktor-aktor negara dan sekarang mungkin pihak lain – hal ini harus menjadi perhatian Anda dan prioritaskan untuk melakukan patch, jika Anda menggunakan versi yang rentan dalam produksi.”
Para peneliti juga memperingatkan bahwa hasil dari kompromi dapat berbahaya bagi organisasi.
“Kelemahan keamanan tinggi Ivanti [baru] ini serius [dan sangat berharga bagi penyerang], dan harus segera ditambal,” kata Patrick Tiquet, wakil presiden keamanan dan arsitektur di Keeper Security. “Kerentanan ini, jika dieksploitasi, dapat memberikan akses tidak sah ke sistem sensitif dan membahayakan seluruh jaringan.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :memiliki
- :adalah
- :bukan
- $NAIK
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- mengakses
- Menurut
- mengakui
- aktif
- kegiatan
- kegiatan
- aktor
- menambahkan
- tambahan
- Tambahan
- Informasi Tambahan
- diadopsi
- maju
- ancaman persisten tingkat lanjut
- Keuntungan
- laporan
- terhadap
- sama
- Semua
- Membiarkan
- juga
- an
- Jangkar
- dan
- mengumumkan
- muncul
- peralatan
- Mendaftar
- APT
- sewenang-wenang
- arsitektur
- ADALAH
- AS
- terkait
- At
- menyerang
- Serangan
- perhatian
- Otentikasi
- menghindari
- kembali
- pintu belakang
- backdoors
- BE
- menjadi
- dimulai
- di belakang
- Luar
- bug
- tapi
- by
- memotong
- bernama
- Panggilan
- CAN
- tertentu
- rantai
- Cina
- Lingkaran
- CISA
- kedatangan
- beberapa minggu mendatang
- komunikasi
- perusahaan
- komponen
- kompromi
- Dikompromikan
- konfigurasi
- Terhubung
- terus
- adat
- pelanggan
- Serangan cyber
- penjahat cyber
- Berbahaya
- data
- Desember
- Pembela
- penggelaran
- terperinci
- berbeda
- Kepala
- penyingkapan
- berbeda
- tidak
- Download
- dua
- Terdahulu
- Awal
- tertanam
- aktif
- terenkripsi
- Seluruh
- lingkungan
- eskalasi
- menetapkan
- Eter (ETH)
- eksekusi
- pengelupasan kulit
- ada
- mengharapkan
- eksploitasi
- dieksploitasi
- eksploitasi
- luas
- Jatuh
- jauh
- Menampilkan
- File
- File
- Akhirnya
- secara finansial
- Pertama
- tetap
- ditandai
- kekurangan
- berikut
- Untuk
- kegilaan
- segar
- dari
- Bahan bakar
- fungsi
- fungsi
- Mendapatkan
- pintu gerbang
- Umum
- akan
- memberikan
- Grup
- Memiliki
- sangat
- Namun
- HTTPS
- ICON
- if
- segera
- in
- memasukkan
- Meningkatkan
- indikator
- informasi
- mulanya
- Sisipan
- bunga
- intern
- ke
- Ditempatkan
- IT
- NYA
- Diri
- Ivanta
- jan
- Januari
- jpg
- hanya
- sah
- 'like'
- Mungkin
- Terbatas
- terbuat
- malware
- Massa
- Mungkin..
- sementara itu
- mitigasi
- memodifikasi
- lebih
- termotivasi
- gerakan
- beberapa
- jaringan
- jaringan
- jaringan
- Neuron
- New
- sekarang
- jumlah
- diamati
- of
- on
- sekali
- ONE
- hanya
- Buka
- open source
- Peluang
- or
- organisasi
- asli
- Lainnya
- Lainnya
- di luar
- paket
- pasangan
- khususnya
- rekan
- pasif
- password
- tambalan
- Patch
- Menambal
- patrick
- Teks biasa
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- kebijaksanaan
- kemungkinan
- presiden
- Sebelumnya
- prioritas
- hak istimewa
- hak
- Produksi
- protokol
- disediakan
- menyediakan
- wakil
- publik
- Ular sanca
- RE
- Baca
- terkait
- dirilis
- terpencil
- permintaan
- penelitian
- peneliti
- Sumber
- terbatas
- mengakibatkan
- membalikkan
- Menggulung
- bergulir
- bulat
- rutin
- aturan
- s
- Tersebut
- sama
- mengatakan
- menjadwalkan
- skor
- aman
- keamanan
- peka
- serius
- Server
- set
- tajam
- Kulit
- harus
- mirip
- sejak
- So
- sejauh ini
- larutan
- beberapa
- sumber
- mencuri
- berhasil
- pemasok
- menyediakan
- supply chain
- mendukung
- sistem
- pengambilan
- ditargetkan
- target
- teknik
- dari
- bahwa
- Grafik
- pencurian
- mereka
- Ini
- mereka
- ini
- ancaman
- untuk
- hari ini
- alat
- TRU
- terowongan
- dua
- jenis
- tidak sah
- bawah
- satuan
- tidak dikenal
- diperbarui
- bekas
- Pengguna
- kegunaan
- menggunakan
- Berharga
- Varian
- Versi
- wakil
- Wakil Presiden
- Korban
- VPN
- VPNs
- Kerentanan
- kerentanan
- Rentan
- Peringatkan
- we
- jaringan
- minggu
- adalah
- Apa
- yang
- SIAPA
- Liar
- akan
- dengan
- dalam
- tanpa
- menulis
- kemarin
- kamu
- Anda
- zephyrnet.dll
