mer Ivanti VPN Zero-Days Fuel Attack Frenzy som patcher endelig ruller

mer Ivanti VPN Zero-Days Fuel Attack Frenzy som patcher endelig ruller

Tidsstempel: 31. januar 2024 3:25
Kilde node: 3090562

Ivanti har endelig begynt å lappe et par nul-dagers sikkerhetssårbarheter som ble avslørt 10. januar i Connect Secure VPN-enheter. Imidlertid annonserte den også to ekstra feil i dag på plattformen, CVE-2024-21888 og CVE-2024-21893 - hvorav sistnevnte også er under aktiv utnyttelse i naturen.

Ivanti har gitt ut sin første runde med patcher for det opprinnelige settet med null-dager (CVE-2024-21887 og CVE-2023-46805) men bare for noen versjoner; Ytterligere rettelser vil rulle ut på en forskjøvet tidsplan i løpet av de kommende ukene, sa selskapet i sin oppdaterte rådgivning i dag. I mellomtiden har Ivanti gitt en kompensasjon for at uoppdaterte organisasjoner bør søke umiddelbart for å unngå å bli offer for masseutnyttelse av kinesiske statsstøttede aktører og økonomisk motiverte nettkriminelle.

Flere tilpassede skadelig programvare anker datatyveriangrep

Det utnyttelsen fortsetter uforminsket. I følge Mandiant har en Kina-støttet avansert vedvarende trussel (APT) den kaller UNC5221 stått bak mengder av utnyttelser tilbake til begynnelsen av desember. Men aktiviteten generelt har økt betraktelig siden CVE-2024-21888 og CVE-2024-21893 ble offentliggjort tidligere i januar.

"I tillegg til UNC5221, erkjenner vi muligheten for at en eller flere relaterte grupper kan være assosiert med aktiviteten," sa Mandiant-forskere i en Ivanti cyberangrepsanalyse utgitt i dag. "Det er sannsynlig at flere grupper utover UNC5221 har tatt i bruk ett eller flere av [verktøyene] [assosiert med kompromissene]."

Til det punktet utstedte Mandiant tilleggsinformasjon om typene skadelig programvare som UNC5221 og andre aktører bruker i angrepene på Ivanti Connect Secure VPN-er. Så langt inkluderer implantater de har observert i naturen:

  • En variant av LightWire Web-skallet som setter seg inn i en legitim komponent av VPN-gatewayen, og har nå en annen obfuskeringsrutine.

  • To UNC5221 tilpassede web-skall, kalt "ChainLine" og "FrameSting", som er bakdører innebygd i Ivanti Connect Secure Python-pakker som muliggjør vilkårlig kommandoutførelse.

  • ZipLine, en passiv bakdør brukt av UNC5221 som bruker en tilpasset, kryptert protokoll for å etablere kommunikasjon med kommando-og-kontroll (C2). Funksjonene inkluderer filopplasting og nedlasting, omvendt skall, proxy-server og en tunnelserver.

  • Nye varianter av WarpWire credential-theft malware, som stjeler klartekstpassord og brukernavn for å eksfiltrere til en hardkodet C2-server. Mandiant tilskriver ikke alle variantene til UNC5221.

  • Og flere åpen kildekode-verktøy for å støtte aktiviteter etter utnyttelse som intern nettverksrekognosering, sidebevegelse og dataeksfiltrering innenfor et begrenset antall offermiljøer.

"Nasjonsstatsaktører UNC5221 har vellykket målrettet og utnyttet sårbarheter i Ivanti for å stjele konfigurasjonsdata, modifisere eksisterende filer, laste ned eksterne filer og reversere tunnel i nettverk," sier Ken Dunham, direktør for cybertrusler ved Qualys Threat Research Unit, som advarer Ivanti-brukere skal være på utkikk etter forsyningskjedeangrep på deres kunder, partnere og leverandører. "Ivanti er sannsynligvis målrettet på grunn av funksjonaliteten og arkitekturen den gir aktører, hvis kompromittert, som en nettverks- og VPN-løsning, inn i nettverk og nedstrømsmål av interesse."

I tillegg til disse verktøyene, flagget Mandiant-forskere aktivitet som bruker en bypass for Ivantis innledende teknikk for å redusere mellomrom, beskrevet i den opprinnelige meldingen; i disse angrepene distribuerer ukjente nettangripere et tilpasset nettspionasje-nettskall kalt "Bushwalk", som kan lese eller skrive til filer til en server.

"Aktiviteten er svært målrettet, begrenset og er forskjellig fra masseutnyttingsaktiviteten etter rådgivende arbeid," ifølge forskerne, som også ga omfattende indikatorer på kompromiss (IoCs) for forsvarere, og YARA-regler.

Ivanti og CISA har gitt ut oppdaterte veiledninger i går at organisasjoner skulle søke.

To ferske Zero-Day-feil med høy alvorlighetsgrad

I tillegg til å rulle ut patcher for de tre uker gamle feilene, har Ivanti også lagt til reparasjoner for to nye CVE-er i den samme meldingen. De er:

  • CVE-2024-21888 (CVSS-score: 8.8): Et sikkerhetsproblem med rettighetseskalering i nettkomponenten til Ivanti Connect Secure og Ivanti Policy Secure, som lar nettangripere få administratorrettigheter.

  • CVE-2024-21893 (CVSS-score: 8.2): En sårbarhet for forfalskning av forespørsler på serversiden i SAML-komponenten til Ivanti Connect Secure, Ivanti Policy Secure og Ivanti Neurons for ZTA, som lar nettangripere få tilgang til «visse begrensede ressurser uten autentisering».

Bare utnyttelser for sistnevnte har sirkulert i naturen, og aktiviteten "ser ut til å være målrettet", ifølge Ivantis råd, men den la til at organisasjoner bør "forvente en kraftig økning i utnyttelsen når denne informasjonen er offentlig - lik det vi observerte 11. januar etter avsløringen 10. januar.»

Qualys TRUs Dunham sier å forvente angrep fra mer enn bare APT-er: «Flere aktører utnytter mulighetene for sårbarhetsutnyttelse før organisasjoner lapper og herder mot angrep. Ivanti er våpen av nasjonalstatsaktører og nå sannsynligvis andre – den bør ha din oppmerksomhet og prioritet å lappe, hvis du bruker sårbare versjoner i produksjonen."

Forskere advarer også om at resultatet av et kompromiss kan være farlig for organisasjoner.

"Disse [nye] Ivanti høysikkerhetsfeilene er alvorlige [og spesielt verdifulle for angripere], og bør lappes umiddelbart," sier Patrick Tiquet, visepresident for sikkerhet og arkitektur hos Keeper Security. "Disse sårbarhetene, hvis de utnyttes, kan gi uautorisert tilgang til sensitive systemer og kompromittere et helt nettverk."

Tidstempel:

Mer fra Mørk lesning