Więcej szaleństwa ataku paliwowego Ivanti VPN w ramach zerowego zużycia paliwa w miarę pojawiania się poprawek

Firma Ivanti w końcu zaczęła łatać dwie luki w zabezpieczeniach typu zero-day ujawnione 10 stycznia w swoich urządzeniach Connect Secure VPN. Jednak dzisiaj ogłosiła również dwa dodatkowe błędy na platformie, CVE-2024-21888 i CVE-2024-21893 — z których ten ostatni jest również aktywnie wykorzystywany w środowisku naturalnym.

Firma Ivanti wypuściła pierwszą serię poprawek dla pierwotnego zestawu dni zerowych (CVE-2024-21887 i CVE-2023-46805) ale tylko dla niektórych wersji; dodatkowe poprawki będą wprowadzane według rozłożonego harmonogramu w nadchodzących tygodniach, podała firma w swoim zaktualizowanym dzisiaj poradniku. W międzyczasie firma Ivanti zapewniła rozwiązanie, które organizacje, które nie wprowadziły poprawek, powinny natychmiast zastosować, aby uniknąć ofiar masowego wyzysku przez podmioty sponsorowane przez chińskie państwo jak i cyberprzestępców motywowanych finansowo.

Wiele niestandardowych ataków kradzieży danych za pomocą kotwic złośliwego oprogramowania

Że eksploatacja nie słabnie. Według Mandianta wspierane przez Chiny zaawansowane trwałe zagrożenie (APT), które nazywa UNC5221, stoi za masą exploitów sięgających początków grudnia. Jednak ogólna aktywność znacznie wzrosła od czasu upublicznienia CVE-2024-21888 i CVE-2024-21893 wcześniej w styczniu.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in analiza cyberataku Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

W tym momencie Mandiant opublikował dodatkowe informacje na temat rodzajów złośliwego oprogramowania wykorzystywanego przez UNC5221 i inne podmioty w atakach na sieci VPN Ivanti Connect Secure. Jak dotąd implanty, które zaobserwowali na wolności, obejmują:

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti i CISA opublikowały zaktualizowane wytyczne dotyczące łagodzenia skutków wczoraj, że organizacje powinny aplikować.

Dwa świeże błędy dnia zerowego o dużej ważności

Oprócz udostępnienia poprawek usuwających błędy sprzed trzech tygodni firma Ivanti dodała także poprawki do dwóch nowych CVE w tym samym poradniku. Oni są:

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

Badacze ostrzegają również, że wynik kompromisu może być niebezpieczny dla organizacji.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling