Meer Ivanti VPN Zero-Days brandstofaanvalwaanzin terwijl patches eindelijk uitrollen

Ivanti is eindelijk begonnen met het patchen van een paar zero-day-beveiligingsproblemen die op 10 januari zijn onthuld in zijn Connect Secure VPN-apparaten. Het heeft vandaag echter ook twee extra bugs in het platform aangekondigd, CVE-2024-21888 en CVE-2024-21893 – waarvan de laatste ook actief in het wild wordt uitgebuit.

Ivanti heeft zijn eerste ronde patches uitgebracht voor de oorspronkelijke reeks nuldagen (CVE-2024-21887 en CVE-2023-46805) maar alleen voor sommige versies; Aanvullende oplossingen zullen de komende weken volgens een gespreid schema worden uitgerold, aldus het bedrijf vandaag in zijn bijgewerkte advies. In de tussentijd heeft Ivanti een oplossing geboden die niet-gepatchte organisaties onmiddellijk moeten toepassen om te voorkomen dat ze het slachtoffer worden massale uitbuiting door Chinese staatsgesteunde actoren en financieel gemotiveerde cybercriminelen.

Meerdere aangepaste malware-aanvallen zorgen voor gegevensdiefstal

ZIJN de uitbuiting gaat onverminderd door. Volgens Mandiant zit een door China gesteunde Advanced Persistent Threat (APT), die zij UNC5221 noemt, achter massale uitbuitingen die teruggaan tot begin december. Maar de activiteit in het algemeen is aanzienlijk toegenomen sinds CVE-2024-21888 en CVE-2024-21893 eerder in januari openbaar werden gemaakt.

“Naast UNC5221 erkennen we de mogelijkheid dat een of meer verwante groepen mogelijk in verband worden gebracht met de activiteit”, aldus Mandiant-onderzoekers in een Ivanti-cyberaanvalanalyse vandaag vrijgegeven. “Het is waarschijnlijk dat nog meer groepen buiten UNC5221 een of meer van [de] instrumenten [geassocieerd met de compromissen] hebben overgenomen.”

Tot dat moment heeft Mandiant aanvullende informatie vrijgegeven over de soorten malware die UNC5221 en andere actoren gebruiken bij de aanvallen op Ivanti Connect Secure VPN's. Tot nu toe omvatten implantaten die ze in het wild hebben waargenomen:

“Natiestatelijke actoren UNC5221 hebben met succes de kwetsbaarheden in Ivanti aangevallen en uitgebuit om configuratiegegevens te stelen, bestaande bestanden aan te passen, externe bestanden te downloaden en binnen netwerken reverse tunnels te maken”, zegt Ken Dunham, cyberdreigingsdirecteur bij Qualys Threat Research Unit, die waarschuwt Ivanti-gebruikers moeten alert zijn op supply chain-aanvallen op hun klanten, partners en leveranciers. “Ivanti is waarschijnlijk het doelwit vanwege de functionaliteit en architectuur die het biedt aan actoren, als ze gecompromitteerd worden, als netwerk- en VPN-oplossing, in netwerken en downstream-doelen van belang.”

Naast deze hulpmiddelen signaleerden Mandiant-onderzoekers activiteiten die gebruik maken van een bypass voor Ivanti's initiële noodoplossingstechniek, zoals beschreven in het oorspronkelijke advies; bij deze aanvallen gebruiken onbekende cyberaanvallers een aangepaste cyberspionage-webshell genaamd 'Bushwalk', die bestanden naar een server kan lezen of ernaar kan schrijven.

“De activiteit is zeer doelgericht, beperkt en onderscheidt zich van de post-adviserende massa-uitbuitingsactiviteit”, aldus de onderzoekers, die ook uitgebreide indicatoren van compromissen (IoC’s) voor verdedigers en YARA-regels verstrekten.

Ivanti en CISA hebben bijgewerkte mitigatierichtlijnen uitgebracht gisteren dat organisaties zich moesten aanmelden.

Twee nieuwe, zeer ernstige Zero-Day-bugs

Naast het uitrollen van patches voor de drie weken oude bugs, heeft Ivanti ook oplossingen voor twee nieuwe CVE's toegevoegd aan hetzelfde advies. Zij zijn:

Alleen exploits voor laatstgenoemde circuleren in het wild, en de activiteit “lijkt gericht te zijn”, aldus Ivanti’s advies, maar het voegde eraan toe dat organisaties “een scherpe toename van de uitbuiting zouden moeten verwachten zodra deze informatie openbaar is – vergelijkbaar met wat we hebben waargenomen op 11 januari na de openbaarmaking van 10 januari.”

Dunham van Qualys TRU zegt aanvallen te verwachten van meer dan alleen APT's: "Meerdere actoren maken gebruik van de mogelijkheden voor misbruik van kwetsbaarheden voordat organisaties patchen en zich verharden tegen aanvallen. Ivanti wordt bewapend door natiestatelijke actoren en nu waarschijnlijk ook door anderen - het zou uw aandacht moeten hebben en prioriteit aan patchen als je kwetsbare versies in productie gebruikt.”

Onderzoekers waarschuwen ook dat het resultaat van een compromis gevaarlijk kan zijn voor organisaties.

“Deze [nieuwe] Ivanti-beveiligingsfouten zijn ernstig [en vooral waardevol voor aanvallers] en moeten onmiddellijk worden gepatcht”, zegt Patrick Tiquet, vice-president van beveiliging en architectuur bij Keeper Security. “Als deze kwetsbaarheden worden uitgebuit, kunnen ze ongeoorloofde toegang verlenen tot gevoelige systemen en een heel netwerk in gevaar brengen.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling