Ivanti סוף סוף החלה לתקן זוג פרצות אבטחה של יום אפס שנחשפו ב-10 בינואר במכשירי Connect Secure VPN שלה. עם זאת, היא גם הכריזה על שני באגים נוספים היום בפלטפורמה, CVE-2024-21888 ו-CVE-2024-21893 - שגם האחרון שבהם נמצא בניצול פעיל בטבע.
Ivanti שחררה את סבב הפאצ'ים הראשון שלה עבור הסט המקורי של אפס ימים (CVE-2024-21887 ו- CVE-2023-46805) אבל רק עבור כמה גרסאות; תיקונים נוספים יתפרסמו בלוח זמנים מדורג בשבועות הקרובים, אמרה החברה בייעוץ המעודכן שלה היום. בינתיים, איבנטי סיפקה הקלה לפיה ארגונים ללא תיקון צריכים לפנות באופן מיידי כדי להימנע מנפילה לקורבן ניצול המוני על ידי שחקנים בחסות המדינה הסינית ופושעי סייבר בעלי מוטיבציה כלכלית כאחד.
התקפות גניבת נתונים מרובות של תוכנות זדוניות מותאמות אישית
כי הניצול נמשך ללא הפסקה. לפי Mandiant, איום מתמשך מתקדם (APT) שהוא מכנה UNC5221, הנתמך על ידי סין, עמד מאחורי שפע של ניצולים החל מתחילת דצמבר. אבל הפעילות באופן כללי עלתה במידה ניכרת מאז ש-CVE-2024-21888 ו-CVE-2024-21893 פורסמו ברבים מוקדם יותר בינואר.
“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in ניתוח מתקפת סייבר של איבנטי released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”
לנקודה זו, מנדיאנט פרסמה מידע נוסף על סוגי תוכנות זדוניות שבהן UNC5221 ושחקנים אחרים משתמשים בהתקפות על Ivanti Connect Secure VPNs. עד כה, השתלים שהם צפו בטבע כוללים:
-
גרסה של מעטפת האינטרנט של LightWire שמכניסה את עצמה לרכיב לגיטימי של שער ה-VPN, הכוללת כעת שגרת ערפול שונה.
-
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
-
ZipLine, דלת אחורית פסיבית המשמשת את UNC5221 המשתמשת בפרוטוקול מותאם אישית ומוצפן ליצירת תקשורת עם פקודה ושליטה (C2). הפונקציות שלו כוללות העלאה והורדה של קבצים, מעטפת הפוכה, שרת פרוקסי ושרת מנהור.
-
גרסאות חדשות של התוכנה הזדונית WarpWire-גניבת אישורים, אשר גונבת סיסמאות ושמות משתמש בטקסט רגיל להסרה לשרת C2 מקודד קשה. Mandiant לא מייחס את כל הגרסאות ל-UNC5221.
-
וכלי קוד פתוח מרובים לתמיכה בפעילויות שלאחר ניצול כמו סיור רשת פנימי, תנועה לרוחב וחילוץ נתונים בתוך מספר מוגבל של סביבות קורבן.
“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”
In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.
“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.
Ivanti ו-CISA פרסמו הנחיות מתקדמות מעודכנות אתמול שארגונים צריכים להגיש בקשה.
שני באגים טריים בחומרה גבוהה
בנוסף להפצת תיקונים עבור הבאגים בני שלושה שבועות, Ivanti הוסיפה גם תיקונים עבור שני CVEs חדשים לאותו ייעוץ. הם:
-
CVE-2024-21888 (ציון CVSS: 8.8): פגיעות הסלמה של הרשאות ברכיב האינטרנט של Ivanti Connect Secure ו-Ivanti Policy Secure, המאפשרת לתוקפי סייבר להשיג הרשאות מנהל.
-
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”
Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”
Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”
חוקרים גם מזהירים כי התוצאה של פשרה עלולה להיות מסוכנת לארגונים.
“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- גישה
- פי
- הודה
- פעיל
- פעילויות
- פעילות
- שחקנים
- הוסיף
- תוספת
- נוסף
- מידע נוסף
- מאומץ
- מתקדם
- איום מתמיד מתקדם
- יתרון
- ייעוץ
- נגד
- דוֹמֶה
- תעשיות
- מאפשר
- גם
- an
- עוגן
- ו
- הודיע
- מופיע
- מכשירים
- החל
- APT
- שרירותי
- ארכיטקטורה
- ARE
- AS
- המשויך
- At
- לתקוף
- המתקפות
- תשומת לב
- אימות
- לְהִמָנַע
- בחזרה
- דלת אחורית
- דלתות אחוריות
- BE
- היה
- התחיל
- מאחור
- מעבר
- באגים
- אבל
- by
- לעקוף
- נקרא
- שיחות
- CAN
- מסוים
- שרשרת
- סינית
- מעגל
- CISA
- מגיע
- בשבועות הקרובים
- תקשורת
- חברה
- רְכִיב
- פשרה
- התפשר
- תְצוּרָה
- לְחַבֵּר
- ממשיך
- מנהג
- לקוחות
- התקפת סייבר
- עברייני אינטרנט
- מסוכן
- נתונים
- דֵצֶמבֶּר
- המגינים
- פריסה
- מְפוֹרָט
- אחר
- מְנַהֵל
- חשיפה
- מובהק
- עושה
- להורדה
- ראוי
- מוקדם יותר
- מוקדם
- מוטבע
- לאפשר
- מוצפן
- שלם
- סביבות
- הסלמה
- להקים
- Ether (ETH)
- הוצאת להורג
- פילטרציה
- קיימים
- לצפות
- ניצול
- ומנוצל
- מעללים
- נרחב
- נפילה
- רחוק
- משתתפים
- שלח
- קבצים
- בסופו של דבר
- כלכלית
- ראשון
- תיקוני
- מסומן
- פגמים
- הבא
- בעד
- טירוף
- טרי
- החל מ-
- לתדלק
- פונקציונלי
- פונקציות
- לְהַשִׂיג
- שער כניסה
- כללי
- הולך
- להעניק
- קבוצה
- יש
- מאוד
- אולם
- HTTPS
- ICON
- if
- מיד
- in
- לכלול
- להגדיל
- אינדיקטורים
- מידע
- בתחילה
- מוסיף
- אינטרס
- פנימי
- אל תוך
- הפיקו
- IT
- שֶׁלָה
- עצמו
- איוונטי
- יאן
- יָנוּאָר
- jpg
- רק
- לגיטימי
- כמו
- סביר
- מוגבל
- עשוי
- תוכנות זדוניות
- מסה
- מאי..
- בינתיים
- הֲקָלָה
- לשנות
- יותר
- מוטיבציה
- תנועה
- מספר
- רשת
- רשתות
- רשתות
- נוירונים
- חדש
- עַכשָׁיו
- מספר
- שנצפה
- of
- on
- פעם
- ONE
- רק
- לפתוח
- קוד פתוח
- הזדמנויות
- or
- ארגונים
- מְקוֹרִי
- אחר
- אחרים
- הַחוּצָה
- חבילות
- זוג
- במיוחד
- שותפים
- פסיבי
- סיסמאות
- תיקון
- טלאים
- תיקון
- פטריק
- טקסט רגיל
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- מדיניות
- אפשרות
- נשיא
- קודם
- עדיפות
- זְכוּת
- הרשאות
- הפקה
- פרוטוקול
- ובלבד
- מספק
- פרוקסי
- ציבורי
- פיתון
- RE
- חומר עיוני
- קָשׁוּר
- שוחרר
- מרחוק
- לבקש
- מחקר
- חוקרים
- משאבים
- מוגבל
- תוצאה
- להפוך
- גָלִיל
- גִלגוּל
- עגול
- שגרה
- כללי
- s
- אמר
- אותו
- אומר
- לוח זמנים
- ציון
- לבטח
- אבטחה
- רגיש
- רציני
- שרת
- סט
- חד
- פָּגָז
- צריך
- דומה
- since
- So
- עד כה
- פִּתָרוֹן
- כמה
- מָקוֹר
- גונב
- בהצלחה
- ספקים
- לספק
- שרשרת אספקה
- תמיכה
- מערכות
- נטילת
- ממוקד
- מטרות
- טכניקה
- מֵאֲשֶׁר
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אלה
- הֵם
- זֶה
- איום
- ל
- היום
- כלים
- TRU
- מנהרה
- שתיים
- סוגים
- לא מורשה
- תחת
- יחידה
- לא ידוע
- מְעוּדכָּן
- מְשׁוּמָשׁ
- משתמשים
- שימושים
- באמצעות
- בעל ערך
- גִרְסָה אַחֶרֶת
- גירסאות
- סְגָן
- סגן הנשיא
- קרבן
- VPN
- רשתות VPN
- פגיעויות
- פגיעות
- פגיע
- מזהיר
- we
- אינטרנט
- שבועות
- היו
- מה
- אשר
- מי
- בר
- יצטרך
- עם
- בתוך
- לְלֹא
- לכתוב
- אתמול
- אתה
- זפירנט