Ivanti는 마침내 Connect Secure VPN 어플라이언스에서 10월 2024일에 공개된 한 쌍의 제로데이 보안 취약점에 대한 패치를 시작했습니다. 그러나 오늘 플랫폼에서 CVE-21888-2024 및 CVE-21893-XNUMX이라는 두 가지 추가 버그도 발표했습니다. 이 중 후자도 활발하게 악용되고 있습니다.
Ivanti가 첫 번째 패치를 출시했습니다. 원래의 제로데이 세트(CVE-2024-21887 및 CVE-2023-46805) 그러나 일부 버전에만 해당됩니다. 회사는 오늘 업데이트된 권고에서 앞으로 몇 주 안에 추가 수정 사항이 시차를 두고 출시될 것이라고 밝혔습니다. 그 동안 Ivanti는 패치가 적용되지 않은 조직이 피해를 입지 않도록 즉시 적용해야 하는 완화 조치를 제공했습니다. 중국 정부가 후원하는 행위자들에 의한 대량 착취 재정적 동기를 지닌 사이버 범죄자도 마찬가지입니다.
다양한 맞춤형 악성코드 앵커 데이터 도난 공격
그 착취는 줄어들지 않고 계속된다. 맨디언트(Mandiant)에 따르면 중국이 지원하는 지능형 지속 위협(APT)인 UNC5221은 2024월 초부터 수많은 공격의 배후에 있었습니다. 그러나 CVE-21888-2024 및 CVE-21893-XNUMX이 XNUMX월 초에 공개된 이후 전반적인 활동이 상당히 증가했습니다.
Mandiant 연구원들은 “UNC5221 외에도 하나 이상의 관련 그룹이 이 활동과 연관될 수 있다는 가능성을 인정합니다.”라고 밝혔습니다. Ivanti 사이버 공격 분석 오늘 출시되었습니다. "UNC5221 이외의 추가 그룹이 [타협과 관련된] 도구 중 하나 이상을 채택했을 가능성이 높습니다."
Mandiant는 UNC5221과 기타 공격자가 Ivanti Connect Secure VPN 공격에 사용하고 있는 악성 코드 유형에 대한 추가 정보를 발표했습니다. 지금까지 그들이 야생에서 관찰한 임플란트는 다음과 같습니다.
-
VPN 게이트웨이의 합법적인 구성 요소에 자신을 삽입하는 LightWire 웹 셸의 변형으로, 이제 다른 난독화 루틴을 제공합니다.
-
임의의 명령 실행을 가능하게 하는 Ivanti Connect Secure Python 패키지에 내장된 백도어인 "ChainLine" 및 "FrameSting"이라는 두 개의 UNC5221 사용자 지정 웹 셸입니다.
-
ZipLine은 명령 및 제어(C5221)와의 통신을 설정하기 위해 사용자 지정 암호화된 프로토콜을 사용하는 UNC2에서 사용하는 수동 백도어입니다. 그 기능에는 파일 업로드 및 다운로드, 리버스 쉘, 프록시 서버 및 터널링 서버가 포함됩니다.
-
하드 코딩된 C2 서버로 유출하기 위해 일반 텍스트 비밀번호와 사용자 이름을 훔치는 WarpWire 자격 증명 도용 악성 코드의 새로운 변종입니다. Mandiant는 모든 변종을 UNC5221에 귀속시키지 않습니다.
-
그리고 제한된 수의 피해자 환경 내에서 내부 네트워크 정찰, 측면 이동, 데이터 유출과 같은 악용 후 활동을 지원하는 여러 오픈 소스 도구입니다.
Qualys Threat Research Unit의 사이버 위협 책임자인 Ken Dunham은 "국가 공격자 UNC5221은 구성 데이터 도용, 기존 파일 수정, 원격 파일 다운로드 및 네트워크 내 역터널을 위해 Ivanti의 취약점을 성공적으로 표적으로 삼아 악용했습니다."라고 경고했습니다. Ivanti 사용자는 고객, 파트너 및 공급업체에 대한 공급망 공격을 경계해야 합니다. "Ivanti는 공격자에게 네트워킹 및 VPN 솔루션으로서 손상될 경우 관심 있는 네트워크 및 다운스트림 대상에 제공하는 기능과 아키텍처로 인해 표적이 될 가능성이 높습니다."
이러한 도구 외에도 Mandiant 연구원들은 원래 권고에 자세히 설명된 Ivanti의 초기 임시완 완화 기술에 대한 우회를 사용하는 활동을 표시했습니다. 이러한 공격에서 알려지지 않은 사이버 공격자는 서버에서 파일을 읽거나 쓸 수 있는 "Bushwalk"라는 사용자 지정 사이버 스파이 웹 셸을 배포하고 있습니다.
방어자에게 광범위한 타협 지표(IoC)와 YARA 규칙을 제공한 연구원에 따르면 "이 활동은 고도로 표적화되고 제한적이며 자문 이후의 대량 착취 활동과 다릅니다."라고 밝혔습니다.
Ivanti와 CISA는 업데이트된 완화 지침을 발표했습니다. 어제 해당 조직이 신청해야 합니다.
심각도가 높은 새로운 제로데이 버그 2개
3주 된 버그에 대한 패치를 출시하는 것 외에도 Ivanti는 동일한 권고에 두 개의 새로운 CVE에 대한 수정 사항도 추가했습니다. 그들은:
-
CVE-2024-21888(CVSS 점수: 8.8): Ivanti Connect Secure 및 Ivanti Policy Secure의 웹 구성 요소에 있는 권한 상승 취약점으로, 사이버 공격자가 관리자 권한을 얻을 수 있습니다.
-
CVE-2024-21893(CVSS 점수: 8.2): Ivanti Connect Secure, Ivanti Policy Secure 및 ZTA용 Ivanti Neurons의 SAML 구성 요소에 있는 서버 측 요청 위조 취약점으로, 사이버 공격자가 "인증 없이 제한된 특정 리소스"에 액세스할 수 있습니다.
Ivanti의 권고에 따르면 후자에 대한 익스플로잇만이 실제로 유포되었으며 이 활동은 "타깃이 된 것으로 보입니다". 하지만 조직은 "이 정보가 공개되면 우리가 관찰한 것과 유사하게 악용이 급격히 증가할 것으로 예상해야 합니다"라고 덧붙였습니다. 11월 10일 공개 이후 XNUMX월 XNUMX일.”
Qualys TRU의 Dunham은 APT 이상의 공격이 예상된다고 말합니다. “조직이 패치를 적용하고 공격에 대비하기 전에 여러 행위자가 취약점 악용 기회를 이용하고 있습니다. Ivanti는 국가 행위자 및 다른 행위자에 의해 무기화됩니다. 프로덕션에서 취약한 버전을 사용하는 경우 패치 우선순위가 적용됩니다.”
연구원들은 또한 타협의 결과가 조직에 위험할 수 있다고 경고합니다.
Keeper Security의 보안 및 아키텍처 담당 부사장인 Patrick Tiquet은 "이러한 [새로운] Ivanti 보안 수준이 높은 결함은 심각하며(공격자에게 특히 중요함) 즉시 패치해야 합니다."라고 말했습니다. “이러한 취약점이 악용될 경우 민감한 시스템에 무단 액세스를 허용하고 전체 네트워크를 손상시킬 수 있습니다.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :있다
- :이다
- :아니
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- ACCESS
- 에 따르면
- 인정
- 활동적인
- 방과 후 액티비티
- 활동
- 배우
- 추가
- 또한
- 추가
- 추가 정보
- 채택
- 많은
- 고급 지속적 위협
- 이점
- 자문
- 반대
- 서로 같은
- All
- 허용
- 또한
- an
- 닻
- 및
- 발표
- 등장하다
- 제품
- 신청
- APT
- 임의
- 아키텍처
- 있군요
- AS
- 관련
- At
- 공격
- 공격
- 주의
- 인증
- 피하기
- 뒤로
- 뒷문
- 백도어
- BE
- 된
- 시작된
- 뒤에
- 그 너머
- 버그
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 우회로
- 라는
- 통화
- CAN
- 어떤
- 체인
- 중국말
- 원
- CISA
- 오는
- 앞으로 몇 주
- 커뮤니케이션
- 회사
- 구성 요소
- 타협
- 손상된
- 구성
- 연결하기
- 계속
- 관습
- 고객
- 사이버 공격
- 사이버 범죄자
- 위험한
- 데이터
- XNUMX월
- 수호자
- 배치
- 상세한
- 다른
- 책임자
- 폭로
- 뚜렷한
- 하지
- 다운로드
- 두
- 이전
- 초기의
- 임베디드
- 가능
- 암호화
- 전체의
- 환경
- 단계적 확대
- 세우다
- 에테르 (ETH)
- 실행
- 압출
- 현존하는
- 기대
- 착취
- 악용
- 공격
- 광대 한
- 전도
- 멀리
- 특색
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 최종적으로
- 재정적으로
- 먼저,
- 고정 된
- 신고 된
- 결함
- 수행원
- 럭셔리
- 광포
- 신선한
- 에
- 연료
- 기능
- 기능
- 이득
- 게이트웨이
- 일반
- 가는
- 부여
- 여러 떼
- 있다
- 고도로
- 그러나
- HTTPS
- ICON
- if
- 바로
- in
- 포함
- 증가
- 표시
- 정보
- 처음에는
- 삽입물
- 관심
- 내부의
- 으로
- 발행
- IT
- 그
- 그 자체
- 이반 티
- 월
- 일월
- JPG
- 다만
- 합법적 인
- 처럼
- 아마도
- 제한된
- 만든
- 악성 코드
- 질량
- XNUMX월..
- 그 동안에
- 완화
- 수정
- 배우기
- 동기 부여
- 운동
- 여러
- 네트워크
- 네트워킹
- 네트워크
- 뉴런
- 신제품
- 지금
- 번호
- 관찰
- of
- on
- 일단
- ONE
- 만
- 열 수
- 오픈 소스
- 기회
- or
- 조직
- 실물
- 기타
- 기타
- 아웃
- 패키지
- 쌍
- 특별히
- 파트너
- 패시브
- 암호
- 패치
- 패치
- 패치
- 패트릭
- 평문
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 포인트 적립
- 정책
- 가능성
- 대통령
- 이전에
- 우선
- 특권
- 권한
- 생산
- 프로토콜
- 제공
- 제공
- 대리
- 공개
- Python
- RE
- 읽기
- 관련
- 출시
- 먼
- 의뢰
- 연구
- 연구원
- 제품 자료
- 한정된
- 결과
- 역
- 롤
- 구르는
- 반올림
- 루틴
- 규칙
- s
- 말했다
- 같은
- 라고
- 예정
- 점수
- 안전해야합니다.
- 보안
- 민감한
- 진지한
- 섬기는 사람
- 세트
- 날카로운
- 껍질
- 영상을
- 비슷한
- 이후
- So
- 지금까지
- 해결책
- 일부
- 출처
- 훔치다
- 성공적으로
- 공급 업체
- 공급
- 공급망
- SUPPORT
- 시스템은
- 복용
- 대상
- 목표
- 기술
- 보다
- 그
- XNUMXD덴탈의
- 절도
- 그들의
- Bowman의
- 그들
- 이
- 위협
- 에
- 오늘
- 검색을
- TRU
- 터널
- 두
- 유형
- 무단의
- 아래에
- 단위
- 알 수없는
- 업데이트
- 익숙한
- 사용자
- 사용
- 사용
- 가치 있는
- 변형
- 버전
- 바이스
- 부통령
- 희생자
- VPN
- VPN
- 취약점
- 취약점
- 취약
- 경고
- we
- 웹
- 주
- 했다
- 뭐
- 어느
- 누구
- 야생
- 의지
- 과
- 이내
- 없이
- 쓰다
- 어제
- 당신
- 너의
- 제퍼 넷
