Altri Zero-Days per le VPN Ivanti alimentano la frenesia degli attacchi man mano che le patch finalmente arrivano

Ivanti ha finalmente iniziato a correggere un paio di vulnerabilità di sicurezza zero-day divulgate il 10 gennaio nelle sue apparecchiature Connect Secure VPN. Tuttavia, oggi ha anche annunciato due bug aggiuntivi nella piattaforma, CVE-2024-21888 e CVE-2024-21893, l'ultimo dei quali è anch'esso sotto sfruttamento attivo in natura.

Ivanti ha rilasciato la prima serie di patch per l'insieme originale di giorni zero (CVE-2024-21887 e CVE-2023-46805) ma solo per alcune versioni; ulteriori correzioni verranno implementate secondo un programma scaglionato nelle prossime settimane, ha affermato oggi la società nel suo avviso aggiornato. Nel frattempo, Ivanti ha fornito una mitigazione che le organizzazioni prive di patch dovrebbero applicare immediatamente per evitare di esserne vittime sfruttamento di massa da parte di attori sponsorizzati dallo stato cinese e criminali informatici motivati ​​​​allo stesso modo.

Numerosi malware personalizzati ancorano gli attacchi di furto di dati

Che lo sfruttamento continua senza sosta. Secondo Mandiant, una minaccia avanzata persistente (APT) sostenuta dalla Cina che chiama UNC5221 è stata dietro una serie di sfruttamenti risalenti all’inizio di dicembre. Ma l’attività in generale è aumentata considerevolmente da quando CVE-2024-21888 e CVE-2024-21893 sono stati resi pubblici all’inizio di gennaio.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in un’analisi degli attacchi informatici di Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

A quel punto, Mandiant ha rilasciato ulteriori informazioni sui tipi di malware che UNC5221 e altri attori utilizzano negli attacchi alle VPN Ivanti Connect Secure. Finora, gli impianti osservati in natura includono:

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti e CISA hanno pubblicato linee guida aggiornate sulla mitigazione ieri che le organizzazioni dovrebbero applicare.

Due nuovi bug zero-day di elevata gravità

Oltre a implementare le patch per i bug vecchi di tre settimane, Ivanti ha anche aggiunto le correzioni per due nuovi CVE allo stesso avviso. Sono:

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

I ricercatori avvertono inoltre che il risultato di un compromesso può essere pericoloso per le organizzazioni.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling