עוד Ivanti VPN בטירוף מתקפת דלק אפס ימים כשהטלאים סוף סוף מתגלגלים

עוד Ivanti VPN בטירוף מתקפת דלק אפס ימים כשהטלאים סוף סוף מתגלגלים

חותמת זמן: 31 בינואר 2024 3:25
צומת המקור: 3090562

Ivanti סוף סוף החלה לתקן זוג פרצות אבטחה של יום אפס שנחשפו ב-10 בינואר במכשירי Connect Secure VPN שלה. עם זאת, היא גם הכריזה על שני באגים נוספים היום בפלטפורמה, CVE-2024-21888 ו-CVE-2024-21893 - שגם האחרון שבהם נמצא בניצול פעיל בטבע.

Ivanti שחררה את סבב הפאצ'ים הראשון שלה עבור הסט המקורי של אפס ימים (CVE-2024-21887 ו- CVE-2023-46805) אבל רק עבור כמה גרסאות; תיקונים נוספים יתפרסמו בלוח זמנים מדורג בשבועות הקרובים, אמרה החברה בייעוץ המעודכן שלה היום. בינתיים, איבנטי סיפקה הקלה לפיה ארגונים ללא תיקון צריכים לפנות באופן מיידי כדי להימנע מנפילה לקורבן ניצול המוני על ידי שחקנים בחסות המדינה הסינית ופושעי סייבר בעלי מוטיבציה כלכלית כאחד.

התקפות גניבת נתונים מרובות של תוכנות זדוניות מותאמות אישית

כי הניצול נמשך ללא הפסקה. לפי Mandiant, איום מתמשך מתקדם (APT) שהוא מכנה UNC5221, הנתמך על ידי סין, עמד מאחורי שפע של ניצולים החל מתחילת דצמבר. אבל הפעילות באופן כללי עלתה במידה ניכרת מאז ש-CVE-2024-21888 ו-CVE-2024-21893 פורסמו ברבים מוקדם יותר בינואר.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in ניתוח מתקפת סייבר של איבנטי released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

לנקודה זו, מנדיאנט פרסמה מידע נוסף על סוגי תוכנות זדוניות שבהן UNC5221 ושחקנים אחרים משתמשים בהתקפות על Ivanti Connect Secure VPNs. עד כה, השתלים שהם צפו בטבע כוללים:

  • גרסה של מעטפת האינטרנט של LightWire שמכניסה את עצמה לרכיב לגיטימי של שער ה-VPN, הכוללת כעת שגרת ערפול שונה.

  • Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.

  • ZipLine, דלת אחורית פסיבית המשמשת את UNC5221 המשתמשת בפרוטוקול מותאם אישית ומוצפן ליצירת תקשורת עם פקודה ושליטה (C2). הפונקציות שלו כוללות העלאה והורדה של קבצים, מעטפת הפוכה, שרת פרוקסי ושרת מנהור.

  • גרסאות חדשות של התוכנה הזדונית WarpWire-גניבת אישורים, אשר גונבת סיסמאות ושמות משתמש בטקסט רגיל להסרה לשרת C2 מקודד קשה. Mandiant לא מייחס את כל הגרסאות ל-UNC5221.

  • וכלי קוד פתוח מרובים לתמיכה בפעילויות שלאחר ניצול כמו סיור רשת פנימי, תנועה לרוחב וחילוץ נתונים בתוך מספר מוגבל של סביבות קורבן.

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti ו-CISA פרסמו הנחיות מתקדמות מעודכנות אתמול שארגונים צריכים להגיש בקשה.

שני באגים טריים בחומרה גבוהה

בנוסף להפצת תיקונים עבור הבאגים בני שלושה שבועות, Ivanti הוסיפה גם תיקונים עבור שני CVEs חדשים לאותו ייעוץ. הם:

  • CVE-2024-21888 (ציון CVSS: 8.8): פגיעות הסלמה של הרשאות ברכיב האינטרנט של Ivanti Connect Secure ו-Ivanti Policy Secure, המאפשרת לתוקפי סייבר להשיג הרשאות מנהל.

  • CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

חוקרים גם מזהירים כי התוצאה של פשרה עלולה להיות מסוכנת לארגונים.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

בול זמן:

עוד מ קריאה אפלה