Ivanti は、10 月 2024 日に同社の Connect Secure VPN アプライアンスで明らかにされた 21888 つのゼロデイ セキュリティ脆弱性へのパッチ適用をついに開始しました。ただし、本日、プラットフォームに 2024 つの追加のバグ、CVE-21893-XNUMX と CVE-XNUMX-XNUMX が発表されました。後者も実際に悪用されています。
Ivanti がパッチの最初のラウンドをリリースしました 元のゼロデイセットの場合 (CVE-2024-21887およびCVE-2023-46805)ただし一部のバージョンのみ。同社は本日更新されたアドバイザリで、追加の修正は今後数週間のうちに時間差スケジュールで公開される予定だと述べた。それまでの間、Ivanti は、パッチを適用していない組織が被害に遭わないように直ちに適用する必要がある緩和策を提供しました。 中国国家支援主体による大量搾取 金銭目的のサイバー犯罪者も同様です。
データ盗難攻撃をアンカーする複数のカスタム マルウェア
それ 搾取は衰えることなく続いている。 Mandiant によると、中国が支援する UNC5221 と呼ばれる高度持続的脅威 (APT) が、2024 月初旬から一連の悪用の背後に存在しているとのことです。しかし、21888 月初めに CVE-2024-21893 と CVE-XNUMX-XNUMX が公開されて以来、活動全般が大幅に増加しています。
「UNC5221に加えて、XNUMXつ以上の関連グループがこの活動に関連している可能性があることを我々は認めている」とマンディアントの研究者らは記事で述べた。 Ivanti のサイバー攻撃分析 今日リリースされました。 「UNC5221 以外のグループも、[侵害に関連する] ツールを XNUMX つ以上採用している可能性があります。」
その時点で、Mandiant は、UNC5221 および他の攻撃者が Ivanti Connect Secure VPN への攻撃に使用しているマルウェアの種類に関する追加情報を発行しました。これまでのところ、野生で観察されたインプラントには次のものがあります。
-
LightWire Web シェルの亜種。VPN ゲートウェイの正規のコンポーネントに自身を挿入し、別の難読化ルーチンを備えています。
-
「ChainLine」と「FrameSting」と呼ばれる 5221 つの UNCXNUMX カスタム Web シェル。これらは、任意のコマンドの実行を可能にする Ivanti Connect Secure Python パッケージに埋め込まれたバックドアです。
-
ZipLine は、UNC5221 によって使用されるパッシブ バックドアで、カスタム暗号化プロトコルを使用してコマンド アンド コントロール (C2) との通信を確立します。その機能には、ファイルのアップロードとダウンロード、リバース シェル、プロキシ サーバー、トンネリング サーバーが含まれます。
-
WarpWire 資格情報盗難マルウェアの新しい亜種。平文のパスワードとユーザー名を盗み、ハードコードされた C2 サーバーに流出します。 Mandiant は、すべての亜種が UNC5221 に起因するとは考えていません。
-
また、限られた数の被害環境内での内部ネットワークの偵察、横方向の移動、データの引き出しなどのエクスプロイト後のアクティビティをサポートする複数のオープンソース ツール。
「国家攻撃者 UNC5221 は、構成データの盗用、既存ファイルの変更、リモート ファイルのダウンロード、およびネットワーク内のリバース トンネルを行うために、Ivanti の脆弱性を標的にして悪用することに成功しました」と、Qualys 脅威研究ユニットのサイバー脅威ディレクターである Ken Dunham 氏は警告します。 Ivanti ユーザーは、顧客、パートナー、サプライヤーに対するサプライ チェーン攻撃に注意してください。 「Ivanti が標的にされる可能性があるのは、侵害された場合、ネットワーキングおよび VPN ソリューションとしてアクターに提供される機能とアーキテクチャが原因で、ネットワークや下流の対象ターゲットに Ivanti が侵入する可能性があります。」
これらのツールに加えて、Mandiant の研究者は、Ivanti の初期の一時しのぎ緩和手法のバイパスを使用するアクティビティにフラグを立てました。これについては元の勧告で詳述されています。これらの攻撃では、未知のサイバー攻撃者が「Bushwalk」と呼ばれるカスタムのサイバースパイ Web シェルを展開し、サーバー上のファイルを読み書きできるようにしています。
研究者らによると、「この活動は高度に標的が絞られており、限定的であり、勧告後の大量搾取活動とは異なる」と述べ、防御者向けの広範な侵害指標(IoC)とYARAルールも提供した。
Ivanti と CISA が最新の緩和ガイダンスを発表 昨日、組織は申請する必要があると発表されました。
2 つの新たな高重大度ゼロデイ バグ
Ivanti は、3 週間前のバグに対するパッチの展開に加えて、2 つの新しい CVE に対する修正も同じアドバイザリに追加しました。彼らです:
-
CVE-2024-21888 (CVSS スコア: 8.8): Ivanti Connect Secure および Ivanti Policy Secure の Web コンポーネントに権限昇格の脆弱性があり、サイバー攻撃者が管理者権限を取得する可能性があります。
-
CVE-2024-21893 (CVSS スコア: 8.2): Ivanti Connect Secure、Ivanti Policy Secure、および Ivanti Neurons for ZTA の SAML コンポーネントにサーバー側のリクエスト フォージェリの脆弱性があり、サイバー攻撃者が「認証なしで特定の制限されたリソース」にアクセスできるようになります。
Ivanti の勧告によれば、後者のエクスプロイトのみが世に出回っており、この活動は「標的にされているようだ」としているが、組織は「この情報が公開されると、我々が観察したのと同様に、エクスプロイトの急増が予想される」と付け加えた。 11月10日の開示に続き、XNUMX月XNUMX日に。」
Qualys TRU の Dunham 氏は、単なる APT 以外からの攻撃も予想されると述べています。「組織がパッチを適用して攻撃に対する対策を強化する前に、複数の攻撃者が脆弱性悪用の機会を利用しています。Ivanti は国民国家の攻撃者と、現在ではおそらく他の攻撃者によって兵器化されています。注意を払う必要があります。本番環境で脆弱なバージョンを使用している場合は、パッチを優先してください。」
研究者らはまた、侵害の結果は組織にとって危険となる可能性があると警告している。
「これらの [新しい] Ivanti の高セキュリティの欠陥は深刻であり、[攻撃者にとって特に価値があり]、すぐにパッチを適用する必要があります」と Keeper Security のセキュリティおよびアーキテクチャ担当副社長の Patrick Tiquet 氏は述べています。 「これらの脆弱性が悪用されると、機密システムへの不正アクセスが許可され、ネットワーク全体が危険にさらされる可能性があります。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :持っている
- :は
- :not
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- アクセス
- 従った
- 認める
- アクティブ
- 活動
- アクティビティ
- 俳優
- 追加されました
- 添加
- NEW
- 追加情報
- 採択
- 高度な
- 高度な持続的脅威
- 利点
- アドバイザリー
- に対して
- 同様に
- すべて
- 許可
- また
- an
- アンカー
- および
- 発表の
- 登場する
- 家電
- 申し込む
- APT
- 任意
- 建築
- です
- AS
- 関連する
- At
- 攻撃
- 攻撃
- 注意
- 認証
- 避ける
- バック
- 裏口
- バックドア
- BE
- き
- 始め
- 背後に
- 越えて
- バグ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- コール
- 缶
- 一定
- チェーン
- 中国語
- サークル
- CISA
- 到来
- 今後数週間
- 通信部
- 会社
- コンポーネント
- 妥協
- 損害を受けた
- お問合せ
- 続ける
- カスタム
- Customers
- サイバー攻撃
- サイバー犯罪者
- 危険な
- データ
- 12月
- ディフェンダー
- 展開する
- 詳細な
- 異なります
- 取締役
- 開示
- 明確な
- ありません
- ダウンロード
- 原因
- 前
- 早い
- 埋め込まれた
- enable
- では使用できません
- 全体
- 環境
- エスカレーション
- 確立する
- エーテル(ETH)
- 実行
- 流出
- 既存の
- 期待する
- 搾取
- 搾取
- エクスプロイト
- 広範囲
- 落下
- 遠く
- 特色
- File
- 最後に
- 財政的に
- 名
- 修正
- フラグが立てられた
- 欠陥
- フォロー中
- 狂乱
- 新鮮な
- から
- ガソリンタンク
- 機能性
- 機能
- 利得
- ゲートウェイ
- 行く
- 助成金
- グループの
- 持ってる
- 非常に
- しかしながら
- HTTPS
- ICON
- if
- 直ちに
- in
- include
- 増える
- インジケータ
- 情報
- 初期
- インサート
- 関心
- 内部
- に
- 発行済み
- IT
- ITS
- 自体
- イヴァンティ
- ジョン
- 1月
- JPG
- ただ
- 正当な
- ような
- 可能性が高い
- 限定的
- 製
- マルウェア
- 質量
- 五月..
- その間
- 緩和
- 修正する
- 他には?
- やる気
- 運動
- の試合に
- ネットワーク
- ネットワーキング
- ネットワーク
- ニューロン
- 新作
- 今
- 数
- 観測された
- of
- on
- かつて
- ONE
- の
- 開いた
- オープンソース
- 機会
- or
- 組織
- オリジナル
- その他
- その他
- でる
- パッケージ
- ペア
- 特に
- パートナー
- パッシブ
- パスワード
- パッチ
- パッチ
- 補修
- パトリック
- 平文
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 方針
- 可能性
- 社長
- 事前の
- 優先順位
- 特権
- 特権
- 生産
- 提供
- は、大阪で
- 代理
- 公共
- Python
- RE
- 読む
- 関連する
- リリース
- リモート
- 要求
- 研究
- 研究者
- リソース
- 制限されました
- 結果
- 逆
- ロール
- 圧延
- 円形
- ルーチン
- ルール
- s
- 前記
- 同じ
- 言う
- スケジュール
- スコア
- 安全に
- セキュリティ
- 敏感な
- 深刻な
- セッションに
- シャープ
- シェル(Shell)
- すべき
- 同様の
- から
- So
- これまでのところ
- 溶液
- 一部
- ソース
- 盗む
- 首尾よく
- サプライヤー
- 供給
- サプライチェーン
- サポート
- システム
- 取得
- 対象となります
- ターゲット
- 技術
- より
- それ
- 盗難
- アプリ環境に合わせて
- ボーマン
- 彼ら
- この
- 脅威
- 〜へ
- 今日
- 豊富なツール群
- TRU
- トンネル
- 2
- 無許可
- 下
- 単位
- 未知の
- 更新しました
- 中古
- users
- 使用されます
- 貴重な
- バリアント
- バージョン
- バイス
- 副会長
- 被害者
- VPN
- VPN
- 脆弱性
- 脆弱性
- 脆弱な
- 警告する
- we
- ウェブ
- ウィークス
- した
- この試験は
- which
- 誰
- ワイルド
- 意志
- 以内
- 無し
- 書きます
- 昨日
- 貴社
- あなたの
- ゼファーネット